Tiện Ích Chrome Quen Thuộc Đột Ngột Trở Mặt Thành Mã Độc Sau Khi Đổi Chủ
Sản phẩm cá nhân
Cho chính phủ, doanh nghiệp vừa & lớn
Doanh nghiệp nhỏ
Tiện Ích Chrome Quen Thuộc Đột Ngột Trở Mặt Thành Mã Độc Sau Khi Đổi Chủ
Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công chuỗi cung ứng (Supply Chain Attack) tinh vi. Trong đó, tin tặc đã âm thầm mua lại các tiện ích mở rộng (Extension) hợp pháp, có lượng người dùng lớn trên Chrome Web Store, sau đó đẩy một bản cập nhật chứa mã độc để chiếm đoạt dữ liệu của hàng triệu nạn nhân chỉ sau một đêm.
Kịch bản "Đổi chủ giấu dao" diễn ra như thế nào?
Chúng ta thường có thói quen cài đặt một tiện ích (như chặn quảng cáo, chụp màn hình, quản lý mật khẩu...) và để nó nằm im trên trình duyệt năm này qua năm khác. Lỗ hổng tâm lý này chính là mỏ vàng của tội phạm mạng.
Quá trình "hắc hóa" một tiện ích thường diễn ra theo 3 bước:
Xây dựng lòng tin: Một lập trình viên chân chính tạo ra một tiện ích miễn phí, hữu ích và thu hút được hàng trăm ngàn lượt cài đặt cùng đánh giá 5 sao.
Cuộc giao dịch ngầm: Lập trình viên đó không còn thời gian duy trì ứng dụng, hoặc nhận được một lời đề nghị mua lại với giá hàng chục ngàn USD từ một bên thứ ba ẩn danh. Việc mua bán diễn ra hợp pháp.
Cú đâm lén sau lưng: Ngay khi nắm quyền kiểm soát, chủ sở hữu mới (tin tặc) lập tức phát hành một bản "cập nhật nhỏ". Vì trình duyệt Chrome có cơ chế tự động cập nhật tiện ích ngầm, mã độc sẽ lập tức được cài thẳng vào máy của hàng triệu người dùng mà không cần họ phải thao tác bất cứ điều gì.
Khi tiện ích "hiền lành" biến thành quái vật
Khi bản cập nhật độc hại được áp dụng, một tiện ích vốn chỉ có chức năng "chỉnh màu trang web" hoặc "dịch văn bản" sẽ bắt đầu thực hiện các hành vi đen tối:
Ăn cắp phiên đăng nhập (Session Hijacking): Chúng âm thầm thu thập Cookie để xâm nhập vào tài khoản Facebook, Gmail hay hệ thống nội bộ doanh nghiệp của bạn mà không cần mật khẩu hay mã OTP.
Chèn quảng cáo và mã độc: Tiêm các đường link lừa đảo ẩn dưới các nút bấm trên trang web bạn đang xem.
Theo dõi hành vi: Ghi lại mọi phím bạn gõ (Keylogger) và toàn bộ lịch sử duyệt web để bán cho các nhà môi giới dữ liệu (Data Brokers).
Làm sao để sống sót trước các cuộc tấn công "Chuỗi cung ứng"?
Vì kẻ thù đến từ chính bên trong hệ thống được tin tưởng, các phần mềm diệt virus thông thường rất khó phát hiện kịp thời. Bạn bắt buộc phải chủ động tự vệ bằng các thói quen sau:
Tổng vệ sinh định kỳ (Extension Audit): Hãy mở thanh địa chỉ, gõ chrome://extensions/ và xóa ngay lập tức mọi tiện ích mà bạn không thực sự sử dụng trong 1 tháng qua. "Ít hơn" đồng nghĩa với "An toàn hơn".
Đọc kỹ cảnh báo "Yêu cầu quyền mới": Khi một tiện ích được cập nhật và đòi hỏi thêm quyền truy cập (Ví dụ: Một tiện ích tải video đột nhiên đòi quyền “Đọc và thay đổi tất cả dữ liệu của bạn trên các trang web”), Chrome sẽ tạm vô hiệu hóa nó và hiển thị cảnh báo. Tuyệt đối không cấp quyền lại nếu bạn thấy yêu cầu đó vô lý.
Lắng nghe cộng đồng (Sắp xếp theo đánh giá mới nhất): Nếu bạn thấy trình duyệt dạo này chậm bất thường, hãy vào trang Chrome Web Store của các tiện ích đang cài. Chuyển bộ lọc đánh giá sang "Mới nhất" (Most Recent). Nếu thấy hàng loạt đánh giá 1 sao kêu ca về việc "Có quảng cáo rác", "Bị chuyển hướng web", hãy gỡ cài đặt tiện ích đó ngay lập tức.
Giới hạn không gian hoạt động: Đừng để tiện ích chạy tự do trên mọi trang web. Hãy nhấp chuột phải vào biểu tượng tiện ích, chọn "Có thể đọc và thay đổi dữ liệu trang web" và chỉnh thành "Khi bạn nhấp vào tiện ích" (On click) hoặc chỉ trên một số trang web cụ thể.
Sự tiện lợi của các Tiện ích mở rộng là không thể phủ nhận, nhưng đừng bao giờ trao cho chúng đặc quyền mù quáng vĩnh viễn.
Hương - Theo TheHackerNews
Đến hẹn lại lên, bản cập nhật bảo mật Patch Tuesday tháng 3/2026 của Microsoft đã chính thức được phát hành để khắc phục 84 lỗ hổng trên nhiều thành phần phần mềm. Đáng chú ý nhất, có tới 8 lỗ hổng được xếp hạng "Nghiêm trọng" (Critical) và 2 lỗ hổng Zero-day đã bị rò rỉ thông tin trước khi bản vá kịp ra mắt.
Salesforce vừa phát đi cảnh báo khẩn cấp về sự gia tăng đột biến của các nhóm tin tặc đang tích cực dò quét và khai thác các lỗ hổng cấu hình trên nền tảng Experience Cloud (các trang web dành cho khách hàng/đối tác). Chúng đang sử dụng một vũ khí tự động để hút sạch thông tin liên lạc của người dùng.
Trong một dự án hợp tác bảo mật mang tính bước ngoặt, công ty trí tuệ nhân tạo Anthropic đã cấp quyền cho siêu AI Claude Opus 4.6 phân tích mã nguồn của trình duyệt Firefox. Kết quả trả về đã làm chấn động giới công nghệ: AI này đã săn được 22 lỗ hổng bảo mật mới toanh với tốc độ mà con người không thể đuổi kịp.
Google Threat Analysis Group (TAG) vừa xác nhận tin tặc đang tích cực vũ khí hóa lỗ hổng CVE-2026-21385 để tiến hành các chiến dịch tấn công có chủ đích. Điểm đáng sợ là lỗ hổng này nhắm sâu vào các thành phần cốt lõi của hệ thống, cho phép kẻ xấu thâu tóm thiết bị của bạn một cách âm thầm.
Các nhà nghiên cứu bảo mật vừa phát hiện chiến dịch tấn công quy mô lớn của APT28 - nhóm tin tặc được cho là có sự hậu thuẫn từ nhà nước. Chúng đang tận dụng lỗ hổng chưa từng được công bố (CVE-2026-21513) trong thành phần MSHTML của Windows để xuyên thủng hệ thống mạng doanh nghiệp và chính phủ thông qua các tệp tài liệu mồi nhử.
