Chiến dịch tấn công quy mô lớn nhắm vào Amazon AI nhằm triển khai mã độc chiếm quyền hệ thống

Tổng quan

Vào ngày 13/07/2025, một hacker đã sử dụng tài khoản GitHub với cái tên: “lkmanka58“ để gửi pull request vào kho mã nguồn mở của Amazon Q – phần mở rộng AI lập trình cho Visual Studio Code (VS Code). Sau khi được cấp quyền, kẻ tấn công đã chèn một prompt độc hại vào bản phát hành version 1.84.0, với nội dung yêu cầu AI thực hiện hành động xóa dữ liệu: từ thư mục hệ thống, AWS CLI để terminate EC2, xóa bucket S3, xóa user IAM…

Amazon khẳng định không có khách hàng nào bị thiệt hại, bởi đoạn prompt không thể thực thi trong môi trường người dùng. Tuy vậy, một số chuyên gia cho rằng prompt thực thi được và tiềm ẩn rất nhiều những rủi ro đối với người dùng toàn cầu.

Phiên bản ảnh hưởng

Amazon Q Extension bản bị nhiễm:

• Tên extension: amazon.q
• Phiên bản: 1.84.0
• Ngày phát hành: 17/07/2025

Nếu tổ chức hoặc hệ thống của bạn có cài bản 1.84.0, bạn nên gỡ ngay và kiểm tra lại toàn bộ log của IDE/terminal trong thời gian sử dụng bản này.

Chi tiết chiến dịch

Như đã đề cập bên trên, ban đầu kẻ tấn công sẽ thực hiện lừa đảo để có thể cấp quyền commit code vào kho GitHub của Amazon AI. Tại đây kẻ tấn công đã tạo một tài khoản GitHub giả với cái tên “lkmanka58“. Tài khoản này sẽ thực hiện gửi một pull request vào kho chứa tiện ích mở rộng Amazon Q. Do nhầm lẫn hoặc sơ suất, tài khoản này được cấp quyền commit trực tiếp (write access). Điều này đồng nghĩa với việc kẻ tấn công có thể đẩy mã lên nhánh chính hoặc các nhánh code chuẩn bị phát hành.

Bước tiếp theo kẻ tấn công sẽ thực hiện chèn Prompt độc hại vào tệp cấu hình AI. Trong mã nguồn Amazon Q, có một tập tin chứa các prompt mặc định (system prompt) dùng để hướng dẫn AI cách xử lý trong từng mục đích cụ thể. Tuy nhiên kẻ tấn công đã lợi dụng điều này để chỉnh sửa file src/agent/prompts/default-system-prompt.txt bằng cách thêm một đoạn lệnh sau:

Đây không phải là một đoạn mã độc gây nguy hiểm, nó không thực thi trực tiếp nhưng cái hay là nó hướng dẫn AI sinh ra một đoạn Bash nguy hiểm:

Sau đó sẽ tiếp tục gọi AWS CLI

Cả ba lệnh trên đều có những ảnh hưởng vô cùng đáng kể đến hệ thống

• aws s3 rb s3://[bucket-name] –force:
  • Xóa toàn bộ dữ liệu và cấu trúc trong một S3 bucket.
  • Không thể khôi phục nếu không có snapshot hoặc backup.
• aws ec2 terminate-instances –instance-ids [ids]
  • Máy EC2 sẽ bị tắt vĩnh viễn, ổ đĩa EBS cũng sẽ bị xóa nếu không cấu hình giữ lại.
  • Có thể gây mất dữ liệu sản xuất hoặc môi trường dev quan trọng.
• aws iam delete-user –user-name [user]
  • Người dùng bị xóa sẽ mất quyền truy cập vĩnh viễn.
  • Có thể phá vỡ pipeline CI/CD, app production nếu user gắn với token.

Kết luận

Đây là một chiến dịch tấn công rất tinh vi và nguy hiểm, không cần khai thác lỗi phần mềm, mà những kẻ tấn công lợi dụng mô chính mô hình AI sinh mã để thực hiện hành vi phá hoại một cách “tự nguyện”.
Tấn công prompt injection vào AI agent đã mở ra một hướng mới cực kỳ nguy hiểm trong bảo mật phần mềm và cloud.

Khuyến nghị

1. Hạn chế cấp quyền AI agent

• Ngay cả AI lập trình cũng không nên có quyền chạy lệnh xóa hoặc truy cập hệ thống/thư mục quan trọng nếu không có giám sát. Ưu tiên cho “chỉ đọc” với AI trong môi trường dev.

2. Kiểm soát đóng góp mã nguồn nghiêm ngặt

• Áp dụng quy trình Pull Request Review, phân quyền chặt, audit logs, kiểm tra tự động trước khi merge code – đặc biệt với AI hoặc công cụ có quyền cao.

3. Giám sát prompt injection

• Các công ty sử dụng AI nên giám sát nội dung prompt, phát hiện prompt ác ý như “delete… terminate…” và đưa vào cảnh báo. Prompt injection ngày càng tinh vi hơn, đặc biệt trong agent cầu quyền hệ thống

IOC

Tham khảo

1. Amazon AI coding agent hacked to inject data wiping commands