Ngày 18 tháng 6 năm 2026, một nhà nghiên cứu bảo mật với biệt danh orchidfiles đã công bố một phát hiện gây sốc: họ đã tìm thấy hơn 10.000 kho lưu trữ độc nhất trên GitHub đang tích cực phân phối mã độc Trojan.
Không giống các chiến dịch mã độc thông thường dựa vào spam fork, các kho lưu trữ này thuộc sở hữu của nhiều cá nhân khác nhau, có tên riêng biệt và không phải là các bản sao (fork) từ dự án khác. Tuy nhiên, chúng chia sẻ một mô hình commit rất cụ thể, được tự động hóa cao, cho phép nhà nghiên cứu quét, xác định và lập bản đồ toàn bộ chiến dịch một cách có hệ thống.
Mô Hình Lây Nhiễm Thầm Lặng Đáng Báo Động 🕵️♀️
Theo nghiên cứu, chiến dịch tấn công này dựa vào một mô hình sửa đổi âm thầm:
1. Sửa Đổi README: Một script tự động cập nhật tệp README.md của dự án để thêm một liên kết tải xuống đến một kho lưu trữ .zip chứa mã độc. Việc sửa đổi này thường xảy ra vài giờ trước khi người dùng truy cập kho lưu trữ. 2. Thông Điệp Commit Tiêu Chuẩn: Commit luôn có tên chính xác là "Update README.md". 3. Che Giấu Mã Độc Tinh Vi: * Kho lưu trữ .zip chứa bốn tệp: * Application.cmd hoặc Launcher.cmd * loader.exe (hoặc luajit.exe hay các tên khác) * random_name.cso hoặc random_name.txt * lua51.dll * Vượt Qua VirusTotal: Nếu người dùng hoặc hệ thống tự động gửi liên kết URL của kho lưu trữ đến VirusTotal, kết quả trả về là 0 phát hiện (sạch). Tuy nhiên, nếu tệp .zip đã tải xuống thực sự được tải lên, VirusTotal sẽ ngay lập tức gắn cờ đó là mã độc Trojan. Sự khác biệt này cho phép các liên kết trong README vẫn hoạt động và không bị các công cụ quét tự động gắn cờ.
Các ví dụ về các kho lưu trữ bị xâm nhập bao gồm java-sdk, ccresume, project-startup-cursor và FinCoach.
Mở Rộng Cuộc Săn: Phát Hiện Hơn 10.000 Kho Lưu Trữ 🔎
Để đánh giá quy mô của chiến dịch mã độc này, orchidfiles đã viết một script quét:
- Lọc Ban Đầu: Script được thiết kế để nhắm mục tiêu các kho lưu trữ được cập nhật từ 1 đến 24 lần mỗi 24 giờ. Bộ lọc này đã trả về khoảng 40.000 kho lưu trữ ứng cử viên. - Khớp Mẫu: Trong số 40.000 ứng cử viên đó, chính xác 10.000 kho lưu trữ đã khớp hoàn hảo với dấu hiệu (cấu trúc mã độc zip và mô hình sửa đổi README cụ thể) — chiếm 25% đáng kinh ngạc trong số các kho lưu trữ hoạt động mạnh mẽ. - Thời Gian Hoạt Động: Nhiều kho lưu trữ chứa mã độc này đã hoạt động trong nhiều tháng, thậm chí có cái đã hơn một năm, hoàn toàn vượt qua các thuật toán phát hiện lạm dụng và bảo mật tự động nội bộ của GitHub.
Công Cụ Phòng Thủ Mã Nguồn Mở: Git Malware Finder 🛡️
Để đối phó với phát hiện này, nhà nghiên cứu đã công bố:
1. Danh Sách Đầy Đủ: Một tệp văn bản toàn diện liệt kê tất cả 10.000 kho lưu trữ bị xâm nhập, được lưu trữ trên GitHub. 2. Git Malware Finder: Một công cụ mã nguồn mở được viết bằng Python để giúp các nhà phát triển, nhà nghiên cứu bảo mật và quản trị viên quét và xác định các phân phối mã độc dựa trên mô hình tương tự.
Phát hiện này làm nổi bật mối đe dọa ngày càng tăng của các cuộc tấn công chuỗi cung ứng phần mềm lợi dụng các nền tảng đáng tin cậy như GitHub. Việc hàng ngàn tài khoản riêng biệt có thể được điều phối để phân phối mã độc âm thầm trong hơn một năm đã nhấn mạnh một lỗ hổng đáng kể trong việc kiểm toán bảo mật cấp nền tảng. Cộng đồng cần hành động ngay lập tức để bảo vệ hệ sinh thái mã nguồn mở.