Axios npm bị hack: 100 triệu lượt tải/tuần, RAT đa nền tảng, Bắc Triều Tiên đứng sau

Ngày 31/3/2026, hai phiên bản axios (1.14.1 và 0.30.4) bị tiêm dependency độc hại plain-crypto-js, thả RAT xuyên nền tảng lên macOS/Windows/Linux. Chạy npm install trong 3 giờ cửa sổ là dính. Đây là mổ xẻ đầy đủ và hướng dẫn khắc phục.