⚡ Tóm tắt Tuần: Khai thác tự động hóa AI, Gián điệp viễn thông, Lấy cắp Prompt & Hơn thế nữa

Tuần này đã cho thấy một điều rõ ràng: những sơ suất nhỏ có thể nhanh chóng trở thành vấn đề lớn. Các công cụ được tạo ra để tiết kiệm thời gian và giảm ma sát đã trở thành những điểm truy cập dễ dàng khi các biện pháp bảo vệ cơ bản bị bỏ qua. Kẻ tấn công không cần các chiêu trò mới lạ; chúng sử dụng những gì đã bị phơi bày và xâm nhập mà không gặp kháng cự.
Quy mô đã làm tăng mức độ thiệt hại. Một cấu hình yếu duy nhất đã lan rộng ra hàng triệu thiết bị. Một lỗ hổng có thể lặp lại được khai thác hết lần này đến lần khác.
Tóm tắt tuần lễ an ninh mạng

Tuần này đã cho thấy một điều rõ ràng: những sơ suất nhỏ có thể nhanh chóng trở thành vấn đề lớn. Các công cụ được tạo ra để tiết kiệm thời gian và giảm ma sát đã trở thành những điểm truy cập dễ dàng khi các biện pháp bảo vệ cơ bản bị bỏ qua. Kẻ tấn công không cần các chiêu trò mới lạ. Chúng sử dụng những gì đã bị phơi bày và xâm nhập mà không gặp kháng cự.

Quy mô đã làm tăng mức độ thiệt hại. Một cấu hình yếu duy nhất đã lan rộng ra hàng triệu thiết bị. Một lỗ hổng có thể lặp lại được khai thác hết lần này đến lần khác. Phishing len lỏi vào các ứng dụng mà mọi người tin dùng hàng ngày, trong khi malware hòa lẫn vào hành vi hệ thống thông thường. Các nạn nhân khác nhau, cùng một kịch bản: trông bình thường, di chuyển nhanh chóng, lây lan trước khi chuông báo động vang lên.

Đối với các nhà phòng thủ, áp lực ngày càng gia tăng. Các lỗ hổng được khai thác gần như ngay khi chúng xuất hiện. Các tuyên bố và phản bác xuất hiện trước khi sự việc được làm rõ. Các nhóm tội phạm thích nghi nhanh hơn sau mỗi chu kỳ. Những câu chuyện sau đây cho thấy những nơi đã xảy ra thất bại—và tại sao những thất bại đó lại quan trọng đối với tương lai.

⚡ Nguy cơ của Tuần

Lỗ hổng bảo mật nghiêm trọng tối đa được công bố trong n8n — Một lỗ hổng có mức độ nghiêm trọng tối đa trong nền tảng tự động hóa quy trình làm việc n8n cho phép thực thi mã từ xa (RCE) mà không cần xác thực và có khả năng làm tổn hại toàn bộ hệ thống. Lỗ hổng này, được gọi là Ni8mare và được theo dõi là CVE‑2026‑21858, ảnh hưởng đến các phiên bản n8n được triển khai cục bộ chạy trước phiên bản 1.121.0. Vấn đề bắt nguồn từ cách n8n xử lý dữ liệu đến, cung cấp một con đường trực tiếp từ yêu cầu bên ngoài, không xác thực để xâm nhập môi trường tự động hóa. Việc công bố CVE‑2026‑21858 diễn ra sau một số lỗ hổng có tác động lớn khác được công khai trong hai tuần qua, bao gồm CVE‑2026‑21877, CVE‑2025‑68613 và CVE‑2025‑68668. Vấn đề xuất hiện trong các quy trình làm việc dựa trên Form, nơi các chức năng xử lý tệp được thực thi mà không xác thực trước rằng yêu cầu thực sự được xử lý dưới dạng "multipart/form-data". Lỗ hổng này cho phép kẻ tấn công gửi một yêu cầu được tạo đặc biệt sử dụng loại nội dung không phải tệp trong khi tạo nội dung yêu cầu để bắt chước cấu trúc nội bộ được mong đợi cho các tệp được tải lên. Bởi vì logic phân tích cú pháp không xác minh định dạng của dữ liệu đến, nó cho phép kẻ tấn công truy cập các đường dẫn tệp tùy ý trên máy chủ n8n và thậm chí leo thang thành thực thi mã. "Tác động mở rộng đến bất kỳ tổ chức nào sử dụng n8n để tự động hóa các quy trình làm việc tương tác với các hệ thống nhạy cảm", Field Effect cho biết. "Kịch bản xấu nhất liên quan đến việc xâm nhập toàn bộ hệ thống và truy cập trái phép vào các dịch vụ được kết nối." Tuy nhiên, Horizon3.ai lưu ý rằng việc khai thác thành công yêu cầu sự kết hợp của các điều kiện tiên quyết không có khả năng được tìm thấy trong hầu hết các triển khai thực tế: một quy trình làm việc thành phần form của n8n có thể truy cập công khai mà không cần xác thực và một cơ chế để truy xuất các tệp cục bộ từ máy chủ n8n.

🔔 Tin tức hàng đầu

  • Botnet Kimwolf lây nhiễm hơn 2 triệu thiết bị Android — Botnet Kimwolf, một biến thể Android của malware Aisuru, đã phát triển lên hơn hai triệu máy chủ, hầu hết trong số đó bị lây nhiễm bằng cách khai thác các lỗ hổng trong mạng proxy dân cư để nhắm mục tiêu các thiết bị trên mạng nội bộ. Sự phát triển nhanh chóng của Kimwolf chủ yếu được thúc đẩy bởi việc lạm dụng các mạng proxy dân cư để tiếp cận các thiết bị Android dễ bị tấn công. Cụ thể, malware tận dụng các nhà cung cấp proxy cho phép truy cập vào các địa chỉ và cổng mạng cục bộ, cho phép tương tác trực tiếp với các thiết bị chạy trên cùng mạng nội bộ với client proxy. Bắt đầu từ ngày 12 tháng 11 năm 2025, Synthient đã quan sát thấy hoạt động quét gia tăng đối với các dịch vụ ADB không xác thực bị phơi bày thông qua các điểm cuối proxy, nhắm mục tiêu các cổng 5555, 5858, 12108 và 3222. Android Debug Bridge (ADB) là một giao diện phát triển và gỡ lỗi cho phép cài đặt và gỡ bỏ ứng dụng, chạy lệnh shell, truyền tệp và gỡ lỗi các thiết bị Android. Khi bị phơi bày qua mạng, ADB có thể cho phép các kết nối từ xa trái phép để sửa đổi hoặc kiểm soát các thiết bị Android. Khi có thể tiếp cận, các payload botnet được gửi qua netcat hoặc telnet, đưa các script shell trực tiếp vào thiết bị bị phơi bày để thực thi cục bộ.
  • Nhóm hacker liên quan đến Trung Quốc có thể đã phát triển Exploit cho ba lỗ hổng VMware vào năm 2024 — Các tác nhân đe dọa nói tiếng Trung Quốc bị nghi ngờ đã tận dụng một thiết bị SonicWall VPN bị xâm nhập làm vector truy cập ban đầu để triển khai một exploit VMware ESXi có thể đã được phát triển hơn một năm trước khi ba lỗ hổng mà nó dựa vào được công khai. Cuộc tấn công được cho là đã khai thác ba lỗ hổng VMware được Broadcom tiết lộ là zero-days vào tháng 3 năm 2025: CVE-2025-22224 (điểm CVSS: 9.3), CVE-2025-22225 (điểm CVSS: 8.2) và CVE-2025-22226 (điểm CVSS: 7.1). Việc khai thác thành công vấn đề có thể cho phép một tác nhân độc hại có đặc quyền admin làm rò rỉ bộ nhớ từ tiến trình Virtual Machine Executable (VMX) hoặc thực thi mã dưới dạng tiến trình VMX. Kẻ tấn công đã tắt các driver của VMware, tải các mô-đun kernel không dấu và thực hiện các cuộc gọi về máy chủ theo cách được thiết kế để không bị phát hiện. Bộ công cụ hỗ trợ nhiều phiên bản ESXi, trải dài hơn 150 bản dựng, điều này sẽ cho phép kẻ tấn công tấn công một loạt các môi trường. Huntress, đơn vị đã quan sát hoạt động này vào tháng 12 năm 2025, cho biết không có bằng chứng nào cho thấy bộ công cụ này được quảng cáo hoặc bán trên các diễn đàn dark web, thêm rằng nó được triển khai một cách có mục tiêu.
  • UAT-7290 liên quan đến Trung Quốc nhắm mục tiêu các nhà mạng viễn thông bằng Linux Malware — Một chiến dịch gián điệp mạng kéo dài nhắm mục tiêu vào cơ sở hạ tầng viễn thông giá trị cao ở Nam Á đã được quy cho một tác nhân đe dọa tinh vi được theo dõi là UAT-7290. Cụm hoạt động này, đã hoạt động từ ít nhất năm 2022, chủ yếu tập trung vào việc trinh sát kỹ thuật rộng rãi các tổ chức mục tiêu trước khi khởi động các cuộc tấn công, cuối cùng dẫn đến việc triển khai các họ malware như RushDrop, DriveSwitch và SilentRaid. Chiến dịch này làm nổi bật sự tập trung bền vững vào các mạng viễn thông ở Nam Á và nhấn mạnh giá trị chiến lược của các môi trường này đối với các tác nhân đe dọa tiên tiến.
  • Hai tiện ích mở rộng Chrome độc hại bị phát hiện Prompt Poaching — Hai tiện ích mở rộng độc hại mới trên Chrome Web Store, Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI, và AI Sidebar with DeepSeek, ChatGPT, Claude, và nhiều hơn nữa, đã được tìm thấy là trích xuất các cuộc hội thoại OpenAI ChatGPT và DeepSeek cùng với dữ liệu duyệt web sang các máy chủ dưới sự kiểm soát của kẻ tấn công. Kỹ thuật các tiện ích mở rộng trình duyệt để âm thầm thu thập các cuộc hội thoại AI đã được đặt tên là Prompt Poaching. Các tiện ích mở rộng này, đã được cài đặt tổng cộng 900.000 lần, đã bị Google gỡ bỏ.
  • PHALT#BLYX nhắm mục tiêu vào ngành khách sạn ở châu Âu — Một chiến dịch malware nhiều giai đoạn mới nhắm mục tiêu vào các tổ chức khách sạn ở châu Âu sử dụng các kỹ thuật kỹ thuật xã hội như các lời nhắc CAPTCHA giả mạo và các lỗi Blue Screen of Death (BSoD) được mô phỏng để lừa người dùng tự thực thi mã độc dưới vỏ bọc các lời dụ hủy đặt phòng. Được đặt tên là PHALT#BLYX, chiến dịch này đại diện cho một sự tiến hóa từ các kỹ thuật ít lẩn tránh hơn trước đây. Các phiên bản trước dựa vào các tệp HTML Application và mshta.exe. Phiên bản mới nhất, được phát hiện vào cuối tháng 12 năm 2025, thay vào đó lạm dụng MSBuild.exe, một tiện ích Microsoft đáng tin cậy, để biên dịch và thực thi một tệp dự án độc hại. Cách tiếp cận living-off-the-land (LotL) này cho phép malware vượt qua nhiều kiểm soát bảo mật điểm cuối và phân phối một biến thể DCRat bị che giấu mạnh mẽ. Hoạt động này được đánh giá là công việc của các tác nhân đe dọa nói tiếng Nga. Các cuộc tấn công tận dụng một chiến thuật kỹ thuật xã hội gọi là ClickFix, nơi người dùng bị lừa tự thực thi các lệnh có vẻ vô hại mà thực chất là cài đặt malware. Nó hoạt động bằng cách lừa người dùng thực hiện một hành động để "khắc phục" một vấn đề không tồn tại bằng cách tự động hoặc thủ công sao chép và dán một lệnh độc hại vào terminal hoặc hộp thoại Run của họ.

‎️‍🔥 Các CVE đang thịnh hành

Tin tặc hành động nhanh chóng. Chúng có thể sử dụng các lỗi mới trong vòng vài giờ. Một bản cập nhật bị bỏ lỡ có thể gây ra một cuộc tấn công lớn. Dưới đây là những lỗ hổng bảo mật nghiêm trọng nhất trong tuần này. Hãy kiểm tra chúng, khắc phục những gì quan trọng nhất trước tiên và giữ an toàn.

Danh sách tuần này bao gồm — CVE-2026-21858, CVE-2026-21877, CVE-2025-68668 (n8n), CVE-2025-69258, CVE-2025-69259, CVE-2025-69260 (Trend Micro Apex Central), CVE-2026-20029 (Cisco Identity Services Engine), CVE-2025-66209, CVE-2025-66210, CVE-2025-66211, CVE-2025-66212, CVE-2025-66213, CVE-2025-64419, CVE-2025-64420, CVE-2025-64424, CVE-2025-59156, CVE-2025-59157, CVE-2025-59158 (Coolify), CVE-2025-59470 (Veeam Backup & Replication), CVE-2026-0625 (D-Link DSL gateway routers), CVE-2025-65606 (TOTOLINK EX200), CVE-2026-21440 (@adonisjs/bodyparser), CVE-2025-68428 (jsPDF), CVE-2025-69194 (GNU Wget2), CVE-2025-43530 (Apple macOS Tahoe), CVE-2025-54957 (Google Android), CVE-2025-14026 (Forcepoint One DLP Client), CVE-2025-66398 (Signal K Server), CVE-2026-21483 (listmonk), CVE-2025-34468 (libcoap), CVE-2026-0628 (Google Chrome), CVE-2025-67859 (Linux TLP), CVE-2025-9222, CVE-2025-13761, CVE-2025-13772 (GitLab CE/EE), CVE-2025-12543 (Undertow HTTP server core), CVE-2025-14598 (BeeS Examination Tool), CVE-2026-21876 (OWASP Core Rule Set), CVE-2026-22688 (Tencent WeKnora), CVE-2025-61686 (@react-router/node, @remix-run/node, and @remix-run/deno), và CVE-2025-54322 (Xspeeder SXZOS).

📰 Khắp nơi trên thế giới mạng

  • Ấn Độ phủ nhận kế hoạch yêu cầu mã nguồn điện thoại thông minh — Cục Thông tin Báo chí (PIB) của Ấn Độ đã bác bỏ một báo cáo từ Reuters nói rằng chính phủ Ấn Độ đã đề xuất các quy tắc yêu cầu các nhà sản xuất điện thoại thông minh chia sẻ mã nguồn với chính phủ và thực hiện một số thay đổi phần mềm như một phần của các biện pháp bảo mật để giải quyết gian lận trực tuyến và vi phạm dữ liệu. Một số yêu cầu chính được đề cập trong báo cáo bao gồm ngăn chặn các ứng dụng truy cập camera, micro hoặc dịch vụ định vị ở chế độ nền khi điện thoại không hoạt động, định kỳ hiển thị cảnh báo nhắc người dùng xem xét tất cả các quyền ứng dụng, lưu trữ nhật ký kiểm tra bảo mật, bao gồm cài đặt ứng dụng và nỗ lực đăng nhập, trong 12 tháng, định kỳ quét malware và xác định các ứng dụng có khả năng gây hại, làm cho tất cả các ứng dụng được cài đặt sẵn đi kèm với hệ điều hành điện thoại, ngoại trừ những ứng dụng thiết yếu cho các chức năng điện thoại cơ bản, có thể xóa được, thông báo cho một tổ chức chính phủ trước khi phát hành bất kỳ bản cập nhật lớn hoặc bản vá bảo mật nào, phát hiện xem thiết bị đã bị root hoặc jailbreak hay chưa và chặn cài đặt các phiên bản phần mềm cũ hơn. PIB cho biết, "Chính phủ Ấn Độ ĐÃ KHÔNG đề xuất bất kỳ biện pháp nào để buộc các nhà sản xuất điện thoại thông minh chia sẻ mã nguồn của họ", đồng thời cho biết thêm, "Bộ Điện tử và Công nghệ Thông tin đã bắt đầu quá trình tham vấn các bên liên quan để xây dựng khung pháp lý phù hợp nhất cho an ninh di động. Đây là một phần của các cuộc tham vấn thường xuyên với ngành để đưa ra bất kỳ tiêu chuẩn an toàn hoặc bảo mật nào. Sau khi tham vấn các bên liên quan hoàn tất, thì các khía cạnh khác nhau của tiêu chuẩn bảo mật sẽ được thảo luận với ngành." Họ cũng cho biết chưa có quy định cuối cùng nào được ban hành, thêm rằng chính phủ đã và đang làm việc với ngành để hiểu rõ hơn về gánh nặng kỹ thuật và tuân thủ cũng như các thông lệ quốc tế tốt nhất mà các nhà sản xuất điện thoại thông minh áp dụng.
  • Meta cho biết không có vụ vi phạm Instagram nào — Meta cho biết họ đã khắc phục một vấn đề "cho phép một bên ngoài yêu cầu email đặt lại mật khẩu cho một số người." Họ cho biết không có vụ vi phạm hệ thống nào và tài khoản người dùng vẫn an toàn. Phát triển này diễn ra sau khi nhà cung cấp phần mềm bảo mật Malwarebytes tuyên bố, "Tội phạm mạng đã đánh cắp thông tin nhạy cảm của 17,5 triệu tài khoản Instagram, bao gồm tên người dùng, địa chỉ vật lý, số điện thoại, địa chỉ email, v.v." Dữ liệu này có sẵn miễn phí trên nhiều diễn đàn hacker, với người đăng bài tuyên bố nó được thu thập thông qua một vụ rò rỉ API Instagram không được xác nhận vào năm 2024. Tuy nhiên, cộng đồng an ninh mạng đã chia sẻ bằng chứng cho thấy dữ liệu bị scrape có thể đã được thu thập vào năm 2022.
  • 8,1 triệu phiên tấn công liên quan đến React2Shell — Công ty tình báo mối đe dọa GreyNoise cho biết họ đã ghi nhận hơn 8,1 triệu phiên tấn công kể từ khi React2Shell lần đầu tiên được tiết lộ vào tháng trước, với "khối lượng hàng ngày ổn định trong khoảng 300.000–400.000 sau khi đạt đỉnh hơn 430.000 vào cuối tháng 12." Có tới 8.163 địa chỉ IP nguồn duy nhất trên 1.071 ASN trải dài 101 quốc gia đã tham gia vào các nỗ lực này. "Sự phân bố địa lý và mạng lưới xác nhận việc áp dụng rộng rãi exploit này trên các hệ sinh thái tác nhân đe dọa đa dạng", công ty cho biết. "Chiến dịch đã tạo ra hơn 70.000 payload duy nhất, cho thấy sự thử nghiệm và lặp lại liên tục của kẻ tấn công."
  • Salt Typhoon liên kết với các cuộc tấn công mới của Hoa Kỳ — Nhóm hacker Trung Quốc Salt Typhoon bị cáo buộc đã hack các hệ thống email được sử dụng bởi nhân viên quốc hội tại nhiều ủy ban của Hạ viện Hoa Kỳ, theo một báo cáo từ Financial Times. "Tình báo Trung Quốc đã truy cập các hệ thống email được sử dụng bởi một số nhân viên của ủy ban Trung Quốc của Hạ viện ngoài các trợ lý của ủy ban đối ngoại, ủy ban tình báo và ủy ban dịch vụ vũ trang, theo những người quen thuộc với cuộc tấn công", báo cáo cho biết. "Các cuộc xâm nhập đã được phát hiện vào tháng 12."
  • Cầu thủ bóng rổ Nga bị buộc tội liên quan đến Ransomware được phóng thích trong vụ trao đổi tù nhân — Một cầu thủ bóng rổ Nga bị buộc tội liên quan đến một băng nhóm ransomware đã được phóng thích trong một cuộc trao đổi tù nhân giữa Nga và Pháp. Daniil Kasatkin, 26 tuổi, đã bị bắt giữ vào tháng 7 năm 2025 ngay sau khi đến Pháp cùng vị hôn thê của mình. Anh ta bị cáo buộc có liên quan đến một nhóm ransomware bị cáo buộc đã nhắm mục tiêu vào gần 900 thực thể từ năm 2020 đến năm 2022. Mặc dù tên của băng nhóm ransomware không được tiết lộ, nhưng nó được cho là nhóm Conti đã không còn tồn tại. Luật sư của Kasatkin cho biết anh ta không liên quan đến các cuộc tấn công ransomware và tuyên bố các cáo buộc liên quan đến một máy tính cũ mà anh ta đã mua.
  • Hoạt động tiền mã hóa bất hợp pháp đạt kỷ lục 158 tỷ USD vào năm 2025 — Hoạt động tiền mã hóa bất hợp pháp đã đạt mức cao kỷ lục 158 tỷ USD vào năm 2025, tăng gần 145% so với năm 2024, theo TRM Labs. Mặc dù có sự gia tăng này, hoạt động này vẫn tiếp tục giảm tỷ lệ trong tổng hoạt động tiền mã hóa, giảm từ 1,3% vào năm 2024 xuống 1,2% vào năm 2025. "Dòng tiền vào các thực thể và khu vực bị trừng phạt tăng mạnh vào năm 2025, dẫn đầu bởi 72 tỷ USD nhận được từ token A757, tiếp theo là 39 tỷ USD bổ sung được gửi đến cụm ví A7", công ty tình báo blockchain cho biết. "Sự tăng trưởng này tập trung cao độ: hơn 80% khối lượng liên quan đến lệnh trừng phạt được kết nối với các thực thể liên quan đến Nga, bao gồm Garantex, Grinex và A7." A7 được đánh giá là hoạt động như một trung tâm kết nối các tác nhân liên quan đến Nga với các đối tác trên khắp Trung Quốc, Đông Nam Á và các mạng lưới liên quan đến Iran. "Sự tăng vọt về khối lượng bất hợp pháp không phản ánh sự thất bại của việc thực thi — nó phản ánh một hệ sinh thái đang trưởng thành và khả năng hiển thị tốt hơn", Ari Redbord, Giám đốc Chính sách Toàn cầu tại TRM Labs cho biết. "Crypto đã chuyển từ sự mới lạ sang cơ sở hạ tầng tài chính bền vững, và các tác nhân bất hợp pháp — bao gồm cả các tác nhân địa chính trị – đang hoạt động trong đó theo cùng một cách như họ làm trong tài chính truyền thống: bền bỉ, ở quy mô lớn và ngày càng bị phơi bày." Trong một báo cáo liên quan, Chainalysis cho biết các địa chỉ tiền mã hóa bất hợp pháp đã nhận ít nhất 154 tỷ USD vào năm 2025, tăng 162% so với cùng kỳ năm trước, với các mạng lưới rửa tiền của Trung Quốc do các băng nhóm tội phạm đứng sau các hoạt động lừa đảo nổi lên như một nhân tố nổi bật trong hệ sinh thái on-chain bất hợp pháp.
    • Biểu đồ hoạt động tiền mã hóa bất hợp pháp
  • Trung Quốc thắt chặt giám sát việc thu thập dữ liệu cá nhân trên Internet — Trung Quốc đã ban hành các dự thảo quy định về quản lý việc thu thập và sử dụng thông tin cá nhân từ internet, như một phần trong nỗ lực bảo vệ quyền của người dùng và thúc đẩy sự minh bạch. "Việc thu thập và sử dụng thông tin cá nhân phải tuân thủ các nguyên tắc hợp pháp, chính đáng, cần thiết và toàn vẹn, và không được thu thập và sử dụng thông tin cá nhân thông qua các phương tiện gây hiểu lầm, gian lận, ép buộc và các phương tiện khác", các dự thảo quy tắc được phát hành bởi Cơ quan Quản lý Không gian mạng Trung Quốc (CAC) vào ngày 10 tháng 1 năm 2026, nêu rõ. "Việc thu thập và sử dụng thông tin cá nhân phải thông báo đầy đủ cho chủ thể về việc thu thập và sử dụng thông tin cá nhân và phải được sự đồng ý của chủ thể thông tin cá nhân; việc thu thập và sử dụng thông tin cá nhân nhạy cảm phải có sự đồng ý riêng của chủ thể thông tin cá nhân." Ngoài ra, các nhà phát triển ứng dụng có trách nhiệm duy trì bảo mật và tuân thủ, đồng thời đảm bảo rằng các quyền truy cập camera và micro chỉ được truy cập khi chụp ảnh, hoặc ghi video hoặc âm thanh.
  • Lỗ hổng bảo mật trong Kiro GitLab Merge Request Helper — Một lỗ hổng nghiêm trọng có mức độ cao đã được công bố trong Kiro's GitLab Merge Request Helper (CVE-2026-0830, điểm CVSS: 8.4) có thể dẫn đến việc chèn lệnh tùy ý khi mở một không gian làm việc được tạo độc hại trong IDE tác nhân. "Điều này có thể xảy ra nếu không gian làm việc có các tên thư mục được tạo đặc biệt trong không gian làm việc chứa các lệnh được chèn", Amazon cho biết. Vấn đề đã được khắc phục trong phiên bản 0.6.18. Nhà nghiên cứu bảo mật Dhiraj Mishra, người đã báo cáo lỗ hổng này vào tháng 10 năm 2025, cho biết nó có thể bị lạm dụng để chạy các lệnh tùy ý trên máy của nhà phát triển bằng cách tận dụng thực tế là GitLab Merge Request Helper truyền các đường dẫn kho lưu trữ đến một tiến trình con mà không đặt chúng trong dấu ngoặc kép, cho phép kẻ tấn công đưa các ký tự meta của shell vào và đạt được việc thực thi lệnh.
  • Các cuộc tấn công Phishing tận dụng WeChat trong các hoạt động gian lận liên quan đến Trung Quốc — KnowBe4 cho biết họ đã quan sát thấy sự gia tăng các email Phishing nhắm mục tiêu vào Hoa Kỳ và EMEA sử dụng các mồi nhử mã QR "Thêm liên hệ" của WeChat, tăng từ chỉ 0,04% vào năm 2024 lên 5,1% vào tháng 11 năm 2025. "Trong khi tổng khối lượng vẫn tương đối thấp, điều này đại diện cho mức tăng 3.475% trên các khu vực này", công ty cho biết. "Ngoài ra, 61,7% trong số các email Phishing này được viết bằng tiếng Anh, và 6,5% khác được viết bằng các ngôn ngữ khác ngoài tiếng Trung hoặc tiếng Anh, cho thấy sự đa dạng hóa ngày càng tăng và có mục tiêu." Trong các kế hoạch Phishing khối lượng lớn này, các email tập trung vào chủ đề cơ hội việc làm thúc giục người nhận quét mã QR nhúng để thêm đại diện HR trên WeChat. Các email được gửi bằng bộ công cụ gửi thư hàng loạt sử dụng các tên miền giả mạo và mã hóa Base64 để tránh các bộ lọc thư rác. Nếu nạn nhân mắc bẫy và thêm họ trên WeChat, các tác nhân đe dọa sẽ xây dựng mối quan hệ với họ trước khi thực hiện các vụ lừa đảo có động cơ tài chính. "Các giao dịch tiền tệ này diễn ra qua WeChat Pay, cung cấp dịch vụ thanh toán nhanh chóng khó theo dõi và đảo ngược", KnowBe4 cho biết. "Nền tảng này cũng cung cấp một hệ sinh thái phần lớn khép kín. Chi tiết danh tính và lịch sử cuộc trò chuyện tồn tại trong môi trường của Tencent, điều này có thể làm cho việc điều tra và phục hồi xuyên biên giới chậm chạp."
  • Chiến dịch Phishing gửi GuLoader — Một chiến dịch Phishing mới ngụy trang thành báo cáo hiệu suất nhân viên đang được sử dụng để gửi một malware loader có tên GuLoader, sau đó triển khai một remote access trojan (RAT) nổi tiếng là Remcos RAT. "Nó cho phép các tác nhân đe dọa thực hiện các hành vi kiểm soát từ xa độc hại như ghi nhật ký bàn phím (keylogging), chụp ảnh màn hình, kiểm soát webcam và micro, cũng như trích xuất lịch sử trình duyệt và mật khẩu từ hệ thống đã cài đặt", AhnLab cho biết. Phát triển này diễn ra khi WebHards mạo danh các trò chơi video người lớn đã được sử dụng để lan truyền Quasar RAT (còn gọi là xRAT) trong các cuộc tấn công nhắm mục tiêu vào Hàn Quốc.
  • Lỗ hổng nghiêm trọng trong zlib — Một lỗ hổng bảo mật nghiêm trọng trong tiện ích untgz của zlib (CVE-2026-22184, điểm CVSS: 9.3) có thể bị khai thác để đạt được tràn bộ đệm (buffer overflow), dẫn đến ghi ngoài giới hạn (out-of-bounds write) có thể gây hỏng bộ nhớ (memory corruption), từ chối dịch vụ (denial of service), và có khả năng thực thi mã tùy thuộc vào trình biên dịch, kiến trúc, cờ xây dựng và bố cục bộ nhớ. Vấn đề ảnh hưởng đến các phiên bản zlib từ 1.3.1.2 trở xuống. "Một lỗ hổng tràn bộ đệm toàn cục tồn tại trong hàm TGZfname() của tiện ích untgz của zlib do sử dụng hàm strcpy() không giới hạn trên đầu vào do kẻ tấn công kiểm soát", nhà nghiên cứu Ronald Edgerson cho biết. "Tiện ích sao chép tên tệp lưu trữ do người dùng cung cấp (argv[arg]) vào một bộ đệm toàn cục tĩnh có kích thước cố định là 1024 byte mà không thực hiện bất kỳ xác thực độ dài nào. Cung cấp tên tệp lưu trữ dài hơn 1024 byte dẫn đến ghi ngoài giới hạn vượt quá cuối bộ đệm toàn cục, dẫn đến hỏng bộ nhớ."
  • Cơ sở dữ liệu BreachForums bị rò rỉ — Trang web "shinyhunte[.]rs", được đặt tên theo băng nhóm tống tiền ShinyHunters, đã được cập nhật để rò rỉ một cơ sở dữ liệu chứa tất cả các bản ghi của người dùng liên quan đến BreachForums, diễn đàn này xuất hiện vào năm 2022 như một sự thay thế cho RaidForums, và kể từ đó đã trải qua nhiều lần lặp lại khác nhau. Vào tháng 4 năm 2025, ShinyHunters đã đóng cửa BreachForums, viện dẫn một lỗ hổng zero-day bị cáo buộc trong MyBB. Sau đó, tác nhân đe dọa cũng tuyên bố trang web đã biến thành một honeypot. Cơ sở dữ liệu bao gồm siêu dữ liệu của 323.986 người dùng. "Cơ sở dữ liệu có thể được thu thập do một lỗ hổng ứng dụng web trong CMS hoặc thông qua cấu hình sai có thể xảy ra", Resecurity cho biết. "Sự cố này đã chứng minh rằng việc vi phạm dữ liệu có thể xảy ra không chỉ với các doanh nghiệp hợp pháp mà còn với các tài nguyên tội phạm mạng tạo ra thiệt hại và hoạt động trên dark web, điều này có thể có tác động tích cực lớn hơn nhiều." Kèm theo cơ sở dữ liệu là một bản tuyên ngôn dài được viết bởi "James", người đã nêu tên một số cá nhân và biệt danh của họ: Dorian Dali (Kams), Ojeda Nahyl (N/A, Indra), Ali Aboussi, Rémy Benhacer, Nassim Benhaddou, Gabriel Bildstein và MANA (Mustapha Usman). Một phân tích dữ liệu đã tiết lộ rằng phần lớn các tác nhân được xác định là có nguồn gốc từ Hoa Kỳ, Đức, Hà Lan, Pháp, Thổ Nhĩ Kỳ, Vương quốc Anh, cũng như Trung Đông và Bắc Phi, bao gồm Morocco, Jordan và Ai Cập. Trong một tuyên bố được đăng trên trang web BreachForums ("breachforums[.]bf"), quản trị viên hiện tại N/A của nó đã mô tả James là một cựu thành viên ShinyHunters đã phát hành một cơ sở dữ liệu cũ hơn. Trong một tin nhắn khác được chia sẻ trên "shinyhunte[.]rs" vào tháng 12 năm 2025, James đã bị tiết lộ là một "người Pháp" và là "cựu cộng sự đã hoạt động trong bóng tối để tổ chức các cuộc tấn công ransomware, đặc biệt là cuộc tấn công nhắm mục tiêu vào Salesforce mà không có sự chấp thuận của các thành viên khác."

🎥 Hội thảo trực tuyến về an ninh mạng

  • Ngừng đoán chiến lược SOC của bạn: Học cách xây dựng, mua hoặc tự động hóa — Các nhóm SOC hiện đại bị quá tải với các công cụ, nhiễu loạn và những lời hứa không mang lại kết quả, khiến việc biết nên xây dựng, mua hay tự động hóa trở nên khó khăn. Trong phiên này, Giám đốc điều hành AirMDR Kumar Saurabh và Giám đốc điều hành SACR Francis Odum sẽ gạt bỏ những lộn xộn với cái nhìn thực tế, trung lập về nhà cung cấp về các mô hình hoạt động SOC, sự trưởng thành và các khuôn khổ quyết định trong thế giới thực—để lại cho các nhóm một con đường rõ ràng, có thể thực hiện được để đơn giản hóa ngăn xếp của họ và làm cho SOC của họ hoạt động hiệu quả hơn.
  • Cách các MSSP hàng đầu đang sử dụng AI để phát triển vào năm 2026: Tìm hiểu công thức của họ — Đến năm 2026, các MSSP đang chịu áp lực phải làm nhiều hơn với ít hơn, và AI đang trở thành lợi thế phân biệt những người mở rộng quy mô với những người bị đình trệ. Phiên này khám phá cách tự động hóa giảm thiểu công việc thủ công, cải thiện lợi nhuận và cho phép tăng trưởng mà không cần thêm nhân sự, với những hiểu biết thực tế từ người sáng lập Cynomi David Primor và CISO Chad Robinson của Secure Cyber Defense về việc biến chuyên môn thành các dịch vụ có giá trị cao, có thể lặp lại.

🔧 Công cụ an ninh mạng

  • ProKZee — Đây là một công cụ desktop đa nền tảng để nắm bắt, kiểm tra và sửa đổi lưu lượng HTTP/HTTPS. Được xây dựng bằng Go và React, nó nhanh chóng, gọn gàng và chạy trên Windows, macOS và Linux. Nó bao gồm một fuzzer tích hợp, phát lại yêu cầu, hỗ trợ Interactsh để kiểm thử ngoài băng tần và phân tích được hỗ trợ bởi AI thông qua ChatGPT. Hỗ trợ Docker đầy đủ giúp thiết lập và phát triển đơn giản cho các nhà nghiên cứu bảo mật và nhà phát triển.
  • Portmaster — Đây là một tường lửa và công cụ bảo mật miễn phí, mã nguồn mở cho Windows và Linux hiển thị và kiểm soát tất cả các kết nối mạng hệ thống. Được xây dựng bởi Safing ở Áo, nó chặn các tracker, malware và lưu lượng truy cập không mong muốn ở cấp độ gói, định tuyến DNS một cách an toàn qua DoH/DoT và cung cấp các quy tắc cho mỗi ứng dụng, lọc quyền riêng tư và một Mạng riêng tư Safing đa chặng tùy chọn, mà không phụ thuộc vào các đám mây của bên thứ ba.
  • STRIDE GPT — Đây là một khuôn khổ mô hình hóa mối đe dọa dựa trên AI mã nguồn mở tự động hóa phương pháp STRIDE để xác định rủi ro và các đường tấn công trong các hệ thống hiện đại. Nó hỗ trợ các ứng dụng GenAI và tác nhân, phù hợp với OWASP LLM và Agentic Top 10, phát hiện kiến trúc RAG và đa tác nhân và tạo ra các cây tấn công rõ ràng với hướng dẫn giảm thiểu—kết nối mô hình hóa mối đe dọa truyền thống với các rủi ro bảo mật thời đại AI.

Tuyên bố miễn trừ trách nhiệm: Các công cụ này chỉ dành cho mục đích học tập và nghiên cứu. Chúng chưa được kiểm tra đầy đủ về bảo mật. Nếu được sử dụng sai cách, chúng có thể gây hại. Hãy kiểm tra mã trước, chỉ thử nghiệm ở những nơi an toàn và tuân thủ tất cả các quy tắc và luật pháp.

Kết luận

Nhìn chung, những cập nhật này cho thấy các hệ thống quen thuộc nhanh chóng trở nên rủi ro như thế nào khi niềm tin không được đặt câu hỏi. Hầu hết các thiệt hại không bắt đầu bằng những exploit thông minh. Chúng bắt đầu bằng những công cụ thông thường âm thầm làm nhiều hơn những gì mọi người mong đợi.

Hiếm khi cần đến một thất bại nghiêm trọng. Một bản vá bị bỏ lỡ. Một dịch vụ bị phơi bày. Một cú nhấp chuột thường xuyên bị lọt qua. Nhân lên những sai sót nhỏ đó, và tác động lan truyền nhanh hơn các nhóm có thể kiểm soát nó.

Bài học rất đơn giản. Các mối đe dọa ngày nay phát triển từ các hoạt động bình thường, di chuyển với tốc độ và quy mô. Lợi thế đến từ việc phát hiện nơi sự căng thẳng đó đang hình thành trước khi nó vỡ ra.

Thẻ liên quan
#AI Security #Mã độc #CVE #Phishing #An ninh mạng