200+ Dự Án, 200K Rủi Ro: Khủng Hoảng RCE MCP Trong Stack AI
Phạm vi OX đo được (150M+ lượt tải, 7K+ server lộ diện, 200+ repo) và cách phòng thủ MCP STDIO RCE — có trích dẫn nguồn.
Blog
Thẻ: #supply-chain
Sâu Máy Tính Tái Xuất: Phân Tích Sâu npm Worm Tự Lây Lan
Một loại sâu npm mới không chỉ đánh cắp khóa của bạn—nó biến chính code của bạn thành vũ khí. Phân tích sâu về CanisterWorm, từ postinstall hook đến C2 blockchain không thể bị hạ gục.
Một AI Tool Tôi Chưa Từng Nghe Tên Vừa Cạy Tung Vercel
Ngày 19/4 Vercel công bố breach. Kẻ tấn công đi vào qua OAuth app của một third-party AI tool — và stack của bạn cũng đang tin tưởng cả tá tool như vậy.
CVE-2026-40175: Cách Axios Biến Prototype Pollution Thành Toàn Bộ Cloud Compromise
Phân tích sâu về gadget chain của Axios giúp escalate prototype pollution thành RCE và bypass AWS IMDSv2. CVSS 9.9.
Cuộc Tấn Công npm Không Ai Ngờ Tới: Khi Database Client Trở Thành Gián Điệp
Sau Axios và LiteLLM, kẻ tấn công đang nhắm vào database clients của bạn. Đây là attack pattern, lý do DB tools là mục tiêu hoàn hảo, và cách Zero Trust architecture giới hạn thiệt hại.
Cuộc Tấn công Supply Chain LiteLLM: Khi Máy Developer Trở Thành Kho Bạc Credential
Tháng 3/2026, nhóm threat actor TeamPCP đã độc hại các package PyPI LiteLLM 1.82.7 và 1.82.8, phát tán mã ăn cắp credential từ máy developer.
Cuộc Compromise Axios npm: Đòn Tấn công Supply Chain Từ Bắc Hàn
Ngày 31/3/2026, nhóm APT Bắc Hàn Sapphire Sleet đã xâm phạm các package Axios trên npm, phát tán malware cài đặt RAT trên máy developer toàn cầu.