Tin tức crypto

Tấn công chuỗi cung ứng NPM: Mã độc Shai Hulud, nguy cơ Crypto (2025)

Đã đăng trên bởi Crypto Insights – NĐTV
tấn công chuỗi cung ứng NPM
24
Th11

Tấn Công Chuỗi Cung Ứng NPM Bằng Mã Độc Shai Hulud Gây Rối Loạn Crypto

Một cảnh báo khẩn cấp đang lan rộng trong cộng đồng phát triển: một cuộc tấn công chuỗi cung ứng NPM quy mô lớn đã xâm phạm hàng trăm gói phần mềm, đặc biệt gây ảnh hưởng nặng nề đến hệ sinh thái tiền điện tử. Mã độc tự sao chép có tên “Shai Hulud” đang là mối đe dọa chính, sau khi được một nhà nghiên cứu từ Aikido Security phát hiện và cảnh báo rộng rãi.

Theo Charlie Eriksen của Aikido Security, hơn 400 gói thư viện NPM đã cho thấy dấu hiệu nhiễm mã độc Shai Hulud. Đáng báo động, trong số đó có ít nhất 10 gói liên quan trực tiếp đến tiền điện tử, phần lớn trong số này lại tập trung vào Dịch vụ Tên Ethereum (ENS). Cuộc tấn công này cho thấy một sự thay đổi đáng kể về chiến thuật, từ việc nhắm mục tiêu trực tiếp vào tài sản sang lây lan tự động và đánh cắp thông tin đăng nhập quan trọng.

Mã Độc Shai Hulud: Kẻ Trộm Cắp Thông Tin Đăng Nhập Mới

Mã độc Shai Hulud đại diện cho một bước tiến nguy hiểm trong các chiến lược tấn công chuỗi cung ứng. Không giống như các cuộc tấn công trước đây từng nhắm thẳng vào việc đánh cắp tiền điện tử, Shai Hulud được thiết kế như một phần mềm độc hại đa năng, chuyên đánh cắp thông tin đăng nhập. Nó có khả năng tự động lây lan trên cơ sở hạ tầng của nhà phát triển. Điều này có nghĩa là, nếu môi trường bị nhiễm chứa khóa ví điện tử, mã độc này sẽ coi chúng như bất kỳ thông tin bí mật (secrets) nào khác và tiến hành đánh cắp.

Sự xuất hiện của Shai Hulud diễn ra chỉ một tuần sau vụ tấn công NPM lớn nhất được ghi nhận vào đầu tháng 9, một sự kiện mà Amazon Web Services đã xác nhận. Điều này cho thấy tốc độ và sự tinh vi ngày càng tăng của các mối đe dọa an ninh mạng, với Shai Hulud tự động phát tán mà không cần sự can thiệp trực tiếp từ kẻ tấn công.

Những Thư Viện Crypto Nào Đang Gặp Nguy Hiểm Từ Tấn Công NPM?

Trong số hàng trăm gói thư viện bị ảnh hưởng bởi đợt tấn công chuỗi cung ứng NPM này, có ít nhất 10 gói liên quan trực tiếp đến ngành công nghiệp tiền điện tử. Đáng chú ý, hầu hết các gói này đều gắn liền với Dịch vụ Tên Ethereum (ENS), một dịch vụ cung cấp tên địa chỉ dễ đọc cho các địa chỉ ví Ethereum phức tạp. Đây là một cảnh báo nghiêm trọng cho toàn bộ hệ sinh thái ENS.

Các gói ENS bị ảnh hưởng bao gồm:

  • content-hash: Gần 36.000 lượt tải xuống mỗi tuần, với 91 gói phần mềm khác phụ thuộc vào nó.
  • address-encoder: Hơn 37.500 lượt tải xuống mỗi tuần.
  • ensjs: Hơn 30.000 lượt tải xuống hàng tuần.
  • ens-validation: 1.750 lượt tải xuống mỗi tuần.
  • ethereum-ens: 12.650 lượt tải xuống mỗi tuần.
  • ens-contracts: Gần 3.100 lượt tải xuống mỗi tuần.

Ngoài các gói của ENS, một thư viện liên quan đến tiền điện tử khác không thuộc ENS cũng bị ảnh hưởng là crypto-addr-codec, với gần 35.000 lượt tải xuống hàng tuần. Điều này cho thấy sự lây lan không chỉ giới hạn trong một hệ thống cụ thể mà còn rộng khắp hơn, đặt ra câu hỏi lớn về bảo mật thư viện JavaScript nói chung.

Phạm Vi Tấn Công Lan Rộng và Hậu Quả Đối Với Cộng Đồng Phát Triển

Phạm vi của cuộc tấn công chuỗi cung ứng NPM bằng mã độc Shai Hulud không chỉ dừng lại ở các thư viện crypto. Nhiều gói phần mềm không liên quan đến tiền điện tử cũng đã bị xâm phạm, bao gồm cả một số gói được cung cấp bởi nền tảng tự động hóa doanh nghiệp Zapier, với một gói có hơn 40.000 lượt tải xuống mỗi tuần và nhiều gói khác cũng đạt con số tương tự. Eriksen cũng chỉ ra các gói khác bị nhiễm, một số có gần 70.000 lượt tải xuống hàng tuần, và thậm chí một gói khác với hơn 1,5 triệu lượt tải xuống hàng tuần, nhấn mạnh nguy cơ bảo mật NPM ở mức độ toàn cầu.

Charlie Eriksen đã chia sẻ trên X rằng: “Phạm vi của cuộc tấn công Shai Hulud mới này thực sự rất lớn; chúng tôi vẫn đang xử lý hàng đợi để xác nhận tất cả. Nó sẽ khiến cuộc tấn công trước đó trở nên chẳng đáng kể gì.”

Lời cảnh báo này cho thấy mức độ nghiêm trọng chưa từng có của mối đe dọa. Các nhà nghiên cứu tại công ty an ninh mạng Wiz cũng tuyên bố đã “phát hiện hơn 25.000 kho lưu trữ bị ảnh hưởng trên khoảng 350 người dùng duy nhất, với 1.000 kho lưu trữ mới được thêm vào liên tục mỗi 30 phút trong vài giờ qua.” Wiz khuyến nghị “điều tra và khắc phục ngay lập tức” cho bất kỳ môi trường nào đang sử dụng npm.

Kết Luận

Cuộc tấn công chuỗi cung ứng NPM bằng mã độc Shai Hulud là một lời nhắc nhở sắc lạnh về sự phức tạp và mức độ nghiêm trọng ngày càng tăng của các mối đe dọa an ninh mạng trong hệ sinh thái phát triển phần mềm. Với khả năng tự lây lan và đánh cắp thông tin đăng nhập, Shai Hulud không chỉ đe dọa các dự án crypto và ENS mà còn toàn bộ cộng đồng phát triển JavaScript. Việc các tổ chức và nhà phát triển cần thực hiện các biện pháp kiểm tra và khắc phục ngay lập tức là điều tối quan trọng để bảo vệ dữ liệu và tài sản của mình.

Câu hỏi thường gặp (FAQ)

1. Mã độc Shai Hulud là gì?

Mã độc Shai Hulud là một loại phần mềm độc hại tự sao chép, chuyên đánh cắp thông tin đăng nhập (credential-stealing malware). Nó lây lan tự động qua các thư viện NPM trong các cuộc tấn công chuỗi cung ứng, nhắm mục tiêu vào các “bí mật” trong môi trường phát triển, bao gồm cả khóa ví điện tử.

2. Những thư viện crypto nào bị ảnh hưởng chính bởi cuộc tấn công này?

Ít nhất 10 gói thư viện crypto đã bị ảnh hưởng, chủ yếu liên quan đến Dịch vụ Tên Ethereum (ENS). Các gói nổi bật bao gồm content-hash, address-encoder, ensjs, ens-validation, ethereum-ens, ens-contractscrypto-addr-codec.

3. Làm thế nào để các nhà phát triển bảo vệ mình khỏi cuộc tấn công này?

Các chuyên gia an ninh mạng khuyến nghị “điều tra và khắc phục ngay lập tức” đối với bất kỳ môi trường nào sử dụng npm. Điều này bao gồm việc kiểm tra các thư viện đã cài đặt, cập nhật chúng lên phiên bản an toàn, và tăng cường các biện pháp bảo mật chuỗi cung ứng để phát hiện sớm các hành vi bất thường.

Crypto Insights – NĐTV

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *