Trong bối cảnh lệnh cấm Telegram được áp dụng toàn quốc từ ngày 21/5/2025, một chiến dịch tấn công chuỗi cung ứng phần mềm đã bị phát hiện nhắm trực tiếp vào các lập trình viên Việt Nam – đặc biệt là những người tích hợp Telegram vào quy trình CI/CD. Tin tặc đã tận dụng chính nhu cầu “vượt rào kỹ thuật” để phát tán mã độc thông qua các thư viện giả mạo.
Cụ thể, hai thư viện Ruby Gems độc hại được phát hành với tên gọi fastlane-plugin-telegram-proxy và fastlane-plugin-proxy_teleram. Chúng được giới thiệu như những công cụ giúp gửi thông báo Telegram thông qua proxy, hỗ trợ người dùng tiếp tục sử dụng dịch vụ này dù đang bị chặn. Tuy nhiên, bên trong lại ẩn chứa mã độc với khả năng đánh cắp dữ liệu và kiểm soát hệ thống.
Điểm đáng chú ý là nhóm tấn công đã xây dựng hồ sơ giả mạo rất tinh vi – mạo danh là lập trình viên người Việt với tên như “Bùi nam” hay “buidanhnam”, sao chép giao diện và hành vi của thư viện hợp pháp để đánh lừa người dùng. Việc này khiến cả lập trình viên lẫn hệ thống CI/CD đều không phát hiện ra bất kỳ dấu hiệu khả nghi nào.
Khi được cài đặt, các thư viện giả này âm thầm gửi toàn bộ dữ liệu như tin nhắn, hình ảnh, tệp tin – thậm chí là Telegram bot token, thông tin đăng nhập, các biến môi trường nhạy cảm – về máy chủ của kẻ tấn công. Điều này dẫn đến rủi ro nghiêm trọng như rò rỉ mã nguồn, mất dữ liệu khách hàng, hoặc chèn mã độc vào phần mềm sản phẩm.
Đáng lo ngại hơn, tuy cuộc tấn công hiện nhắm vào người dùng Việt, nhưng hai thư viện này hoàn toàn có thể được lập trình viên quốc tế cài đặt và trở thành nạn nhân tiếp theo nếu không được phát hiện và xử lý kịp thời.
