Cảnh báo bảo mật: Tài khoản GitHub của chủ dự án Mantine DataTable bị tấn công, mã độc được tiêm vào mã nguồn

Một sự cố bảo mật nghiêm trọng vừa xảy ra đối với dự án mã nguồn mở phổ biến mantine-datatable, khi tài khoản GitHub của chủ dự án bị tin tặc chiếm đoạt và khóa trái. Vợ của nhà phát triển chính, Ionut, đã đăng tải thông báo khẩn cấp trên GitHub để cảnh báo cộng đồng về các mã độc đã bị tiêm vào mã nguồn.

Cảnh báo bảo mật trên GitHub

Chi tiết cuộc tấn công

Theo thông báo từ Irinel-Ramona, vợ của Ionut (icflorescu), tài khoản GitHub của ông đã bị đình chỉ hoạt động mà không có cảnh báo trước. Kẻ tấn công đã lợi dụng sự cố này để đẩy các commit trái phép vào kho lưu trữ mantine-datatable và 4 dự án khác thông qua bot github-actions.

Commit độc hại có thông điệp là "chore: update dependencies [skip ci]" — trông có vẻ vô hại nhưng thực chất chứa mã nguy hiểm. Payload độc hại này được thiết kế để thực thi lệnh node .github/setup.js và đã được tiêm vào các tệp cấu hình quan trọng:

• .claude/settings.json: Kích hoạt tự động khi bắt đầu phiên làm việc trên Claude Code.
• .gemini/settings.json: Kích hoạt tự động khi bắt đầu phiên làm việc trên Gemini.
• .cursor/rules/setup.mdc: Kích hoạt khi mở kho lưu trữ trong trình soạn thảo Cursor.
• .vscode/tasks.json: Kích hoạt khi mở dự án trong Visual Studio Code.
• package.json: Chiếm quyền kiểm soát script npm test.

Khuyến cáo cho người dùng

Nếu bạn đã clone hoặc pull mã nguồn từ các kho lưu trữ này gần đây, bạn được khuyến cáo không mở dự án trong VS Code, Cursor hoặc bất kỳ trợ lý lập trình AI nào. Ngoài ra, tuyệt đối không chạy lệnh npm test cho đến khi Ionut lấy lại quyền truy cập và xóa các commit độc hại.

Tin tốt lành là các gói npm đã được xuất bản lên registry hoàn toàn an toàn. Không có phiên bản độc hại nào được phát hành chính thức. Rủi ro này chỉ ảnh hưởng đến những người đang làm việc trực tiếp với mã nguồn (source code).

Nguyên nhân và bối cảnh

Gia đình nhà phát triển nghi ngờ đây có thể là một phần của cuộc tấn công rộng lớn hơn vào cơ sở hạ tầng của GitHub do nhóm tin tặc TeamPCP thực hiện vào tháng 5 năm 2026. Họ đã kiểm tra kỹ môi trường của mình và không tìm thấy dấu hiệu bị xâm nhập từ phía máy chủ cá nhân, cho thấy lỗ hổng có thể nằm ở phía nền tảng GitHub.

Hiện tại, Ionut đã gửi vé hỗ trợ cho GitHub nhưng vẫn chưa nhận được phản hồi sau gần 20 giờ. Vợ ông chia sẻ sự thất vọng sâu sắc về quy trình hỗ trợ của GitHub trong các sự cố bảo mật, mô tả nó là "chậm chạp và thiếu tính nhân văn". Tài khoản mà ông đã xây dựng trong nhiều năm nay đang bị khóa, khiến ông không thể tự bảo vệ người dùng của mình.

Cộng đồng đang chờ đợi GitHub hành động để khôi phục tài khoản và xóa các mã độc, đồng thời nhấn mạnh tầm quan trọng của việc kiểm tra chéo các commit từ các bot tự động hóa trong các dự án mã nguồn mở.