Microsoft Gặp Nguy: Mã Nguồn Mở Bị Xâm Nhập, Mật Khẩu Lập Trình Viên AI Gặp Rủi Ro! 😱
Hà Nội, 8 tháng 6 năm 2026 – Trong một diễn biến đáng báo động, Microsoft đã buộc phải cắt quyền truy cập vào hàng chục dự án mã nguồn mở của mình được lưu trữ trên GitHub. Động thái này diễn ra trong bối cảnh gã khổng lồ công nghệ đang gấp rút điều tra cách tin tặc có thể xâm nhập các dự án và tiêm mã độc đánh cắp mật khẩu vào mã nguồn. Vụ việc này đặc biệt nghiêm trọng khi nhắm vào các công cụ được sử dụng rộng rãi bởi cộng đồng nhà phát triển Trí tuệ Nhân tạo (AI). 💻
Chi Tiết Vụ Tấn Công: Mã Độc Nguy Hiểm Rình Rập
Theo các báo cáo từ công ty bảo mật Cloudsmith và trang phân tích mã độc cộng đồng OpenSourceMalware – những đơn vị đầu tiên lên tiếng cảnh báo về vụ tấn công – mã độc này cho phép tin tặc đánh cắp mật khẩu và các thông tin xác thực nhạy cảm khác của người dùng ngay khi họ mở các công cụ bị xâm nhập trong ứng dụng lập trình AI của mình.
Nhiều dự án bị ảnh hưởng có liên quan đến dịch vụ đám mây Azure của Microsoft và các công cụ khác mà nhà phát triển dùng để lập trình ứng dụng AI, bao gồm: * Claude Code * Giao diện dòng lệnh (CLI) của Gemini * VS Code
Hiện chưa rõ có bao nhiêu người đã tải xuống các công cụ bị ảnh hưởng. Microsoft đã xác nhận việc gỡ bỏ các kho lưu trữ (repos) này, thông tin ban đầu được 404 Media báo cáo. Một người phát ngôn của Microsoft đã xác nhận đã nhận được email nhưng chưa đưa ra bình luận ngay lập tức. ⛔️
Trên GitHub, khi cố gắng truy cập các trang dự án bị ảnh hưởng, một thông báo xuất hiện cho biết ít nhất 70 dự án của Microsoft đã bị “vô hiệu hóa” do “vi phạm các điều khoản dịch vụ của GitHub.”
Tấn Công Chuỗi Cung Ứng: Mối Đe Dọa Ngày Càng Lớn
Đây là ví dụ mới nhất trong chuỗi các cuộc tấn công chuỗi cung ứng diễn ra trong những tháng gần đây, nơi tin tặc nhắm vào các dự án mã nguồn mở phổ biến nhằm cài đặt mã độc lên một số lượng lớn người dùng đã cài đặt mã nguồn trên máy tính của họ. Những cuộc tấn công này đặc biệt nguy hiểm vì chúng nhắm vào mã nguồn thường được sử dụng trong nhiều sản phẩm phần mềm hoặc bởi một loại người dùng cụ thể – những người có thể có quyền truy cập vào hệ thống đám mây và lượng lớn dữ liệu khách hàng. ⛓️
Thông thường, các nhà phát triển độc lập của dự án mã nguồn mở mới là mục tiêu, đôi khi là một phần của các nỗ lực dài hạn nhằm giành được lòng tin của nhà phát triển. Tuy nhiên, việc các gã khổng lồ công nghệ như Microsoft – với nguồn lực khổng lồ để phòng thủ – bị xâm nhập lại là điều hiếm thấy.
Lần Tái Xâm Nhập Đáng Lo Ngại
Theo Ars Technica, đây là lần thứ hai Microsoft bị xâm nhập trong vài tuần qua, cho phép tin tặc thỏa hiệp các dự án mã nguồn mở của hãng. Giữa tháng 5, các nhà nghiên cứu bảo mật cho biết dự án mã nguồn mở Durable Task của Microsoft, một công cụ giúp nhà phát triển xây dựng ứng dụng, đã bị hack. OpenSourceMalware cho rằng sự cố mới nhất này là một “tái xâm nhập” (re-compromise) của dự án Durable Task, cho thấy Microsoft có thể đã không loại bỏ hoàn toàn tin tặc trong lần đầu tiên, hoặc đây là một cuộc tấn công hoàn toàn mới và riêng biệt. 🚨
Kalera News sẽ tiếp tục theo dõi sát sao diễn biến của vụ việc này và khuyến nghị các nhà phát triển AI nên hết sức cẩn trọng khi sử dụng các công cụ mã nguồn mở trong thời điểm hiện tại. Bảo mật là ưu tiên hàng đầu! #AI #BaoMat #Microsoft #MaNguonMo