Tóm tắt an ninh mạng: Trump Mobile lộ dữ liệu, lừa đảo World Cup 2026 và CISA cảnh báo chuỗi cung ứng

SecurityWeek xin gửi đến bạn đọc bản tin tổng hợp các sự kiện an ninh mạng nổi bật trong tuần qua. Dưới đây là những diễn biến chính về lỗ hổng bảo mật, phương thức tấn công mới và các bản cập nhật quan trọng giúp bạn nắm bắt bối cảnh an ninh mạng đang thay đổi.

Tin tức an ninh mạng

Sự cố lộ dữ liệu tại Trump Mobile và UK Visa Portal

Nhà mạng Trump Mobile đã xác nhận rằng thông tin cá nhân của khách hàng bao gồm tên, địa chỉ, email, số điện thoại và dữ liệu khác đã bị lộ ra internet. Công ty cho biết một bên thứ ba cung cấp nền tảng là nguyên nhân gây ra sự cố này.

Tại Anh, cổng thông tin thị thực UK Visa Portal (không liên quan đến chính phủ Anh) đã để lộ công khai hơn 100.000 tài liệu của người nộp đơn xin thị thực. Theo TechCrunch, các tệp bị lộ bao gồm ảnh chân dung và hộ chiếu, được lưu trữ trong một bộ chứa AWS S3 không được bảo mật đúng cách trước khi được khắc phục vào đầu tuần này.

Lỗ hổng và bản vá bảo mật quan trọng

Một lỗ hổng thực thi mã từ xa (RCE) trong tiện ích mở rộng Remote‑SSH của Visual Studio Code (VS Code) có thể cho phép kẻ tấn công truy cập vào hệ thống từ xa. Nhà nghiên cứu bảo mật Suman Kumar Chakraborty cảnh báo rằng vấn đề nằm ở việc tiện ích này ghi một script bootstrap vào thư mục Temp khi khởi tạo kết nối SSH. Kẻ tấn công có thể sửa đổi script này trước khi nó được thực thi trên máy chủ từ xa để triển khai reverse shell.

Bảo mật dữ liệu

Veeam đã khắc phục hai lỗ hổng mức độ nghiêm trọng cao trong sản phẩm Backup & Replication, cảnh báo chúng có thể dẫn đến việc nâng cao đặc quyền và ghi tệp tùy ý. Notepad++ cũng đã vá ba vấn đề bảo mật, bao gồm hai lỗi dẫn đến thực thi mã tùy ý. Các bản cập nhật bảo mật mới nhất cho Roundcube sửa chữa tám lỗi, bao gồm cả việc tiêm SQL chưa được xác thực và xóa tệp tùy ý.

Chiến dịch lừa đảo và tấn công chuỗi cung ứng

Các tin tặc đang nhắm đến sự kiện World Cup 2026 với hơn 4.300 tên miền giả mạo FIFA. Group-IB phát hiện một chiến dịch lừa đảo tinh vi do nhóm hacker nói tiếng Trung Ghost Stadium thực hiện, bao gồm cả bản sao hệt trang web chính thức của FIFA. Các trang lừa đảo này có thể gây ra hàng trăm triệu USD thiệt hại.

CISA (Cơ quan An ninh mạng và An ninh hạ tầng Hoa Kỳ) đã mở rộng danh sách các lỗ hổng đang được khai thác (KEV) với ba lỗ hổng mới mô tả các cuộc tấn công chuỗi cung ứng phần mềm gần đây, bao gồm Daemon Tools Lite, TanStack và Nx Console. CISA cũng đưa ra cảnh báo về các cuộc tấn công Megalodon và Nx Console, kêu gọi các tổ chức tìm kiếm và khắc phục các xâm nhập tiềm ẩn.

Sonatype cảnh báo về một cuộc tấn công chuỗi cung ứng liên quan đến 176 gói NPM độc hại chứa các tập lệnh postinstall được thiết kế để cài đặt phần mềm đánh cắp thông tin. Tất cả các gói độc hại này đều có số phiên bản là 99.99.99.

Các sự kiện đáng chú ý khác

Một nhà thầu phần mềm tên Maxwell Schultz đã bị kết án 24 tháng tù liên bang vì đã tấn công vào mạng của công ty cũ sau khi hợp đồng chấm dứt vào năm 2021. Anh ta đã thực thi một tập lệnh đặt lại khoảng 2.500 mật khẩu, gây thiệt hại hơn 862.000 USD.

Ngoài ra, các tài liệu trong một vụ kiện theo Đạo luật Tự do Thông tin cho thấy nhóm APT nhà nước Nga đứng sau vụ tấn công chuỗi cung ứng SolarWinds năm 2019-2020 đã có quyền truy cập sâu vào email của Bộ Tài chính Mỹ, tập trung vào tám tài khoản email liên kết với 300 địa chỉ email khác.