// Popular Articles
Dev bị hack qua "phỏng vấn giả": 56 giây mất keychain, crypto, 634 password
Một chiêu social engineering đang quét khắp cộng đồng dev: recruiter giả gửi "coding test" trên Bitbucket, chạy lên là mất sạch keychain, ví crypto, password Chrome. Microsoft gọi campaign này là Contagious Interview — đã tồn tại từ 2022, 197+ npm package độc, quy mô North Korea state-sponsored. Đây là cách nó hoạt động và cách tự bảo vệ.
Bitwarden CLI bị backdoor 93 phút trên npm: Bên trong chiến dịch Checkmarx của TeamPCP
Một GitHub Action bị chiếm đã đẩy @bitwarden/cli@2026.4.0 chứa mã độc bw1.js lên npm trong 93 phút, hút token GitHub, AWS, npm, SSH và .env về audit.checkmarx[.]cx. Vault người dùng an toàn, nhưng 334 máy dev/CI cần rotate toàn bộ secret ngay.
Bitwarden CLI bị hijack trên npm: campaign TeamPCP lan sang package 78K lượt tải/tuần
Package @bitwarden/cli@2026.4.0 đã bị chèn mã độc trong 93 phút tối 22/04/2026, quét sạch GitHub/npm token, SSH key, .env, shell history và cloud secret của dev cài bản này. Đây là mắt xích npm đầu tiên của campaign TeamPCP đã tấn công Trivy và Checkmarx Docker/VSCode trước đó.
Socket và Docker phát hiện malicious KICS Docker images: vụ Checkmarx supply chain đã lan rộng hơn công bố
Socket và Docker vừa xác nhận malicious images trong chính official checkmarx/kics Docker Hub repo, cùng nhiều bản VS Code extension gần đây. Vụ TeamPCP không chỉ dừng ở GitHub Actions như Checkmarx công bố — nó đang lan rộng qua toàn bộ chuỗi phân phối.
SGLang CVE-2026-5760: một file GGUF độc biến /v1/rerank thành shell (CVSS 9.8)
Lỗ hổng RCE trong SGLang 0.5.9: một Jinja2 chat template độc bên trong file GGUF chạy code Python trên server ngay khi /v1/rerank được gọi. CVSS 9.8, chưa có patch chính thức, PoC đã public.
Axios npm bị hack: 100 triệu lượt tải/tuần, RAT đa nền tảng, Bắc Triều Tiên đứng sau
Ngày 31/3/2026, hai phiên bản axios (1.14.1 và 0.30.4) bị tiêm dependency độc hại plain-crypto-js, thả RAT xuyên nền tảng lên macOS/Windows/Linux. Chạy npm install trong 3 giờ cửa sổ là dính. Đây là mổ xẻ đầy đủ và hướng dẫn khắc phục.
THENA xác nhận an toàn sau vụ Vercel bị hack — đã xoay credentials dù không bị ảnh hưởng
THENA, sàn DEX hàng đầu trên BNB Chain, vừa công bố không bị ảnh hưởng bởi sự cố bảo mật Vercel April 2026 nhưng vẫn chủ động xoay credentials như biện pháp phòng ngừa. Người dùng có thể tiếp tục giao dịch bình thường.
Vercel bị hack: ShinyHunters rao bán source code và API keys giá 2 triệu USD
Vercel xác nhận hệ thống nội bộ bị xâm nhập qua OAuth của Context.ai. Kẻ tấn công rao bán source code, GitHub/NPM tokens và 580 bản ghi nhân viên với giá 2 triệu USD. Developer cần kiểm tra và xoay vòng secrets ngay.
Vercel bị tấn công: Hacker đòi 2 triệu USD, kêu gọi toàn bộ khách hàng xoay secrets ngay
Vercel xác nhận bị truy cập trái phép vào hệ thống nội bộ ngày 19/4/2026 qua OAuth app của Context.ai. Hacker đòi 2 triệu USD, rao bán source code và token. Tất cả khách hàng cần xoay env variables và redeploy ngay.
Vercel bị hack: Context.ai OAuth lộ, hacker rao bán 2 triệu đô — dev cần làm gì ngay
Vercel xác nhận ngày 19/04/2026 có truy cập trái phép vào hệ thống nội bộ. Nguồn gốc: tool AI thứ ba Context.ai bị chiếm OAuth Google Workspace, hacker pivot vào tài khoản nhân viên Vercel. Biến môi trường không bật cờ sensitive đã bị phơi. 580 hồ sơ nhân viên bị rao bán 2 triệu USD trên BreachForums. Dev dùng Vercel cần rotate credentials ngay.
Vercel bị tấn công tháng 4/2026: chuỗi OAuth từ Context.ai, env vars không đánh dấu sensitive bị lộ
Guillermo Rauch công khai sự cố bảo mật: một nhân viên Vercel bị compromise qua Context.ai, attacker leo thang vào môi trường Vercel và enumerate các env var non-sensitive. Rauch nghi attacker được AI tăng tốc đáng kể.
Vercel bị xâm nhập: ShinyHunters rao bán database nội bộ $2M — tại sao mọi dev Next.js nên rotate secrets ngay
Ngày 19/04/2026, Vercel xác nhận bị xâm nhập hệ thống nội bộ. Cùng lúc, nhóm ShinyHunters (thủ phạm vụ Ticketmaster 560M) rao bán data nội bộ của Vercel giá $2M trên BreachForums, bao gồm NPM tokens, GitHub tokens và source code. Đây là lý do mọi dev Next.js cần rotate secrets ngay lập tức.