Một vụ tấn công chuỗi cung ứng tinh vi đã làm tổn hại 3.800 kho mã nguồn nội bộ của GitHub, làm trầm trọng thêm cuộc khủng hoảng tại nền tảng dành cho nhà phát triển thuộc sở hữu của Microsoft này, nơi đang phải đối mặt với làn sóng ra đi của các lãnh đạo, gián đoạn dịch vụ liên tục và các mối đe dọa cạnh tranh ngày càng tăng. Vụ xâm nhập được thực hiện bởi nhóm hacker có động cơ tài chính TeamPCP, bắt nguồn từ việc một nhân viên cài đặt một tiện ích mở rộng độc hại cho Visual Studio Code, trình soạn thảo mã nguồn phổ biến của Microsoft.
"Chúng tôi đã gỡ bỏ phiên bản tiện ích mở rộng độc hại, cách ly điểm cuối và bắt đầu ứng phó sự cố ngay lập tức," GitHub cho biết trong một tuyên bố, đồng thời xác nhận rằng các bí mật quan trọng đã được thay đổi. Giám đốc An ninh của công ty, Alexis Wales, sau đó đã xác nhận rằng véc-tơ tấn công là một phiên bản độc hại của tiện ích mở rộng Nx Console, v18.95.0, vốn chỉ tồn tại trên chợ ứng dụng chính thức trong 18 phút vào ngày 18 tháng 5. Bất chấp khoảng thời gian ngắn ngủi, các bản cập nhật tự động có thể đã đẩy gói độc hại này đến hơn 6.000 người dùng.
Vụ tấn công, được gán mã định danh CVE-2026-48027, liên quan đến một tải trọng đánh cắp thông tin xác thực có tên là SANDCLOCK được lấy từ một gói ẩn. Điểm xâm nhập ban đầu của những kẻ tấn công là một vụ xâm nhập trước đó vào công cụ dành cho nhà phát triển nguồn mở TanStack vào ngày 11 tháng 5, cho phép chúng đánh cắp thông tin xác thực GitHub của một nhà phát triển Nx Console. TeamPCP ban đầu đã rao bán .3800 kho lưu trữ bị đánh cắp với giá 50.000 USD, sau đó tăng giá lên 95.000 USD sau khi dường như đã hợp tác với nhóm hacker Lapsus$.
Vụ vi phạm bảo mật này bồi thêm vào giai đoạn bất ổn nội bộ bắt đầu sau khi cựu CEO Thomas Dohmke ra đi vào năm ngoái. Microsoft đã chọn không bổ nhiệm người kế nhiệm, thay vào đó hợp nhất GitHub vào nhóm CoreAI của mình, do cựu giám đốc điều hành Meta là Jay Parikh dẫn dắt. Động thái này kéo theo sự ra đi của các lãnh đạo cấp cao, bao gồm cả Julia Liuson, người đã làm việc 34 năm tại Microsoft và Giám đốc Doanh thu Elizabeth Pemmerl. Sự bất ổn và tình trạng gián đoạn dịch vụ thường xuyên đã khiến các nhà phát triển công khai đặt câu hỏi về độ tin cậy của nền tảng, với một số dự án lớn đã tuyên bố rời bỏ.
Mối đe dọa chuỗi cung ứng ngày càng mở rộng
Sự cố GitHub là hậu quả rõ ràng nhất của một chiến dịch kéo dài nhiều tháng của TeamPCP (được nhóm Tình báo Mối đe dọa của Google theo dõi với tên gọi UNC6780) nhắm vào hệ sinh thái phát triển phần mềm. Phương thức của nhóm này là một vòng lặp tự duy trì: xâm nhập một công cụ phát triển phổ biến để đánh cắp thông tin xác thực, sau đó sử dụng những thông tin đó để xuất bản các phiên bản độc hại của các công cụ khác, nhằm mở rộng quyền truy cập của chúng.
Grafana Labs xác nhận rằng họ cũng bị xâm nhập thông qua cùng một cuộc tấn công TanStack ban đầu, nhận được yêu cầu đòi tiền chuộc vào ngày 16 tháng 5 nhưng đã từ chối trả tiền. Hai thiết bị của nhân viên tại OpenAI và một số kho mã nguồn tại Mistral AI cũng bị xâm nhập trong cùng một đợt tấn công.
"Các máy trạm của nhà phát triển hiện sở hữu giá trị chiến lược tương đương với các bộ điều khiển miền (domain controllers)," Morey Haber, cố vấn an ninh chính tại BeyondTrust Corp., cho biết trong một email. "Việc tiếp cận các kho mã nguồn, bí mật, khóa SSH, thông tin xác thực đám mây, chứng chỉ ký và quy trình triển khai có thể biến một điểm cuối bị xâm nhập duy nhất thành một sự cố chuỗi cung ứng theo hiệu ứng domino."
Thách thức chiến lược của Microsoft
Mặc dù GitHub khẳng định không có mã nguồn của khách hàng nào bị ảnh hưởng, nhưng việc mã nguồn nền tảng của chính họ bị rò rỉ sẽ cung cấp cho những kẻ tấn công cái nhìn sâu sắc về kiến trúc của nó, có khả năng tạo điều kiện cho các khai thác zero-day trong tương lai. Sự cố này làm nổi bật thách thức chiến lược mà Microsoft phải đối mặt, đơn vị đã mua lại GitHub với giá 7,5 tỷ USD vào năm 2018. Nền tảng này không chỉ là một sản phẩm mà còn là nền tảng cho mối quan hệ của Microsoft với cộng đồng nhà phát triển.
Cuộc khủng hoảng xảy ra khi công cụ Copilot hỗ trợ bởi AI của GitHub đang mất dần lợi thế của người đi đầu trước các đối thủ cạnh tranh như Cursor và Claude Code. Các nguồn tin nội bộ cho biết Jay Parikh đã cảnh báo các đồng nghiệp rằng GitHub đang đối mặt với một "mối đe dọa nghiêm trọng". Sự kết hợp giữa các thất bại về bảo mật, sự bất ổn trong vận hành và sự mất phương hướng có nguy cơ làm xói mòn lòng tin của nhà phát triển — tài sản quan trọng nhất của GitHub, tạo cơ hội cho các đối thủ định hình lại thị trường.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
