TL;DR: Mình vô tình commit Cloudflare API Token vào một repo public trên GitHub. Kẻ tấn công đã lợi dụng token này để tạo Cloudflare Worker, inject mã độc vào mọi trang HTML của tất cả website trên server. Malware giả mạo giao diện “I’m not a robot” (CAPTCHA), lừa người dùng dán lệnh độc…