Các cuộc tấn công mạng đáng chú ý bắt đầu từ việc xâm phạm kho lưu trữ GitHub và sau đó lây nhiễm qua NPM, trong có có các cuộc tấn công “s1ngularity” vào cuối tháng 8/2025, chiến dịch “GhostAction” vào đầu tháng 9 và chiến dịch “Shai-Hulud” mới nhất.

Các cuộc tấn công này đã dẫn đến việc xâm phạm hàng nghìn tài khoản và kho lưu trữ riêng tư, đánh cắp dữ liệu nhạy cảm và gây ra chi phí khắc phục đáng kể. Mặc dù GitHub đã phản ứng nhanh chóng để giảm thiểu tác động của những sự cố này, nền tảng dành cho nhà phát triển thừa nhận rằng các biện pháp chủ động mạnh mẽ hơn sẽ hiệu quả hơn.

Để giảm thiểu những rủi ro này, GitHub mới đây đã thông báo rằng họ sẽ dần triển khai các biện pháp sau:

- Yêu cầu xác thực hai yếu tố (2FA) để xuất bản sản phẩm trên môi trường cục bộ.

- Áp dụng token có thời hạn hiệu lực là 7 ngày.

- Mở rộng và khuyến khích việc áp dụng phương thức “Trusted Publishers”.

- Loại bỏ token cổ điển và TOTP 2FA (chuyển sang 2FA dựa trên FIDO).

- Rút ngắn thời gian hết hạn của token xuất bản.

- Quyền xuất bản mặc định không cho phép token.

- Xóa tùy chọn bypass 2FA khi xuất bản cục bộ.

Trusted Publishers đã được áp dụng trên nhiều hệ sinh thái, được khuyến khích mạnh mẽ vì nó loại bỏ nhu cầu quản lý token API trong các bản build phần mềm. Các nhà phát triển được khuyến nghị nên chuyển sang chế độ Trusted Publishers, cũng như áp dụng 2FA khi xuất bản, đồng thời sử dụng WebAuth thay vì mật khẩu một lần TOTP cho 2FA.

GitHub cho biết sẽ triển khai những thay đổi này theo thời gian và cung cấp tài liệu hướng dẫn di chuyển cần thiết để giảm thiểu gián đoạn cho quy trình làm việc hiện tại.

Thông báo cũng nhấn mạnh rằng bảo mật hệ sinh thái là nhiệm vụ chung và các nhà phát triển được kỳ vọng sẽ tự mình hành động để giảm thiểu rủi ro chuỗi cung ứng bằng cách áp dụng các tùy chọn bảo mật tốt hơn có sẵn trên nền tảng.

Trong một diễn biến liên quan, Ruby Central cũng công bố việc quản lý chặt chẽ hơn trình quản lý gói RubyGems để cải thiện khả năng bảo vệ chuỗi cung ứng.