vi
new
+1
Avatar
Quốc Bảo Nguyễn @nqubao1312
36 1 12
Đã đăng vào khoảng 14 giờ trước 4 phút đọc
18

Mã Độc 2026: Dev Việt Hay Bị “Ăn” Ở Đâu Mà Không Hay

MayFest2026

Mấy năm gần đây mình thấy mã độc ngày càng lầy lội. Không còn là mấy con virus ngu ngốc nữa, chúng giờ thông minh, biết ẩn náu, thậm chí dùng cả AI để né antivirus.

Mà dev chúng ta lại là đối tượng rất dễ bị nhắm đến vì hay tải tool lạ, thử package mới, mở link tùm lum.

Mình từng bị dính vài lần, nên hôm nay viết bài này chia sẻ thật những thứ mình học được.

Mình từng bị gì?

Có lần mình tải một package npm về dùng thử.

Repo GitHub nhìn sạch, có cả sao, có README đàng hoàng nên mình cũng không nghi ngờ gì nhiều.

Cài xong chạy thử thì máy nóng ran, quạt quay như máy bay. Lúc đầu còn tưởng tản nhiệt có vấn đề.

Mở Task Manager lên mới tá hỏa thấy CPU bị ăn gần 80% dù đang idle.

Check một hồi mới phát hiện có process đào coin chạy nền. May lúc đó chưa commit code gì quan trọng.

Từ vụ đó mình rén npm package hẳn.

Các loại mã độc hay gặp với dev hiện nay

  • Ransomware
    Vẫn kinh điển, khóa hết file rồi đòi Bitcoin.

  • Stealer
    Ăn cắp cookie, mật khẩu trình duyệt, session GitHub, ví crypto.
    Loại này đáng sợ vì nhiều khi bị dính mà không biết.

  • Trojan
    Thường núp trong tool crack, phần mềm “miễn phí” hoặc extension VS Code lạ.

  • Fileless Malware
    Chạy trong RAM, không để file nên antivirus khá khó phát hiện.

  • Malware trong package
    npm, PyPI, Docker image… dạo này xuất hiện rất nhiều.

Cái mình sợ nhất hiện nay là malware núp trong package mã nguồn mở.

Chỉ cần một maintainer bị hack account là hàng nghìn dev có thể dính theo.

Dấu hiệu nhận biết máy bị nhiễm

Thường thì máy sẽ có vài biểu hiện khá lạ:

  • Idle mà CPU vẫn 40–70%, máy nóng liên tục
  • Internet chậm hơn bình thường, nhất là upload traffic
  • Xuất hiện process lạ trong Task Manager
  • Antivirus tự nhiên bị tắt hoặc lỗi update
  • Có extension browser hoặc VS Code mà mình không nhớ đã cài
  • Quạt quay liên tục dù không mở project nặng

Cách phòng mình đang dùng

Mình không phải dân security chuyên nghiệp, nhưng mấy thứ này giúp yên tâm hơn khá nhiều:

  • Không dùng tài khoản admin để code hàng ngày
  • Chạy project trong Docker hoặc máy ảo nếu được
  • Trước khi npm install hay pip install thì search tên package + "malware"
  • Check package trên VirusTotal nếu thấy nghi ngờ
  • Dùng Bitwarden + bật 2FA cho tất cả tài khoản quan trọng
  • Bật Windows Defender và cập nhật Windows thường xuyên
  • Thỉnh thoảng kiểm tra extension VS Code với npm packages đang dùng

Một mẹo nhỏ mình tự đặt ra:

Nếu package nào download thấp mà lại giải quyết vấn đề “quá hoàn hảo” thì nên cẩn thận.

Dạo này malware núp package nhiều thật, nhất là mấy package clone tên gần giống package nổi tiếng.

Kết

Ngày trước mình nghĩ malware chủ yếu nhắm vào người dùng bình thường.

Giờ thì thấy dev cũng là mục tiêu ngon không kém:

  • có source code,
  • token,
  • API key,
  • ví crypto,
  • access production…

Nhiều khi chỉ cần một lần bất cẩn npm install là đủ mệt rồi.

Bảo mật giờ gần như phải đi song song với việc code chứ không còn là chuyện “để sau” nữa.

malware CyberSecurity DevSecOps

All rights reserved

Mục lục


Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí