Cuộc tấn công kiểu Worm lớn đổ bộ vào NPM, đặt thông tin đăng nhập Ví tiền tiền điện tử vào rủi ro

Một cuộc tấn công chuỗi cung ứng lan rộng nhanh chóng được biết đến với tên gọi Shai-Hulud đã lây nhiễm hàng trăm gói npm và làm lộ thông tin nhạy cảm của các nhà phát triển, bao gồm token GitHub, khóa đám mây và dữ liệu ví tiền điện tử. Chiến dịch này bắt đầu vào giữa tháng 9 năm 2025 và đã leo thang nhanh chóng khi worm di chuyển qua các tài khoản của người bảo trì và các thư viện JavaScript được sử dụng rộng rãi.

Cách mà sâu Shai-Hulud lan truyền

Các cơ quan an ninh báo cáo rằng những kẻ tấn công đầu tiên chiếm đoạt một tài khoản maintainer, thường thông qua phishing, sau đó tải lên các phiên bản đã được sửa đổi của các gói hợp pháp. Khi một nhà phát triển cài đặt một trong những phiên bản này, một tập lệnh độc hại có tên bundle.js sẽ chạy trên các hệ thống macOS hoặc Linux.

Worm quét máy móc và các pipeline CI để tìm kiếm bí mật bằng cách sử dụng công cụ mã nguồn mở TruffleHog. Nó tìm kiếm các mục như:

• Mã thông báo truy cập cá nhân GitHub
• npm publish tokens
• Các khóa đám mây AWS, GCP và Azure
• Khóa ví và thông tin xác thực phát triển tiền điện tử

Nếu nó tìm thấy mã thông báo npm hợp lệ, nó sẽ ngay lập tức cập nhật và phát hành lại các gói bổ sung thuộc sở hữu của cùng một người bảo trì. Hành vi này cho phép phần mềm độc hại nhân rộng nhanh chóng trong toàn bộ hệ sinh thái.

Sự bền bỉ và Sự phơi bày dữ liệu

Các nhà nghiên cứu phát hiện rằng con sâu cố gắng giữ cho mình hoạt động bằng cách tạo ra các quy trình làm việc GitHub Actions bên trong các kho lưu trữ của nạn nhân. Nó cũng tải lên các thông tin xác thực bị đánh cắp và dữ liệu kho riêng tư vào các kho GitHub công khai mới được gán nhãn Shai-Hulud. Một số thư viện bị xâm phạm nhận được hàng tỷ lượt tải xuống hàng tuần, điều này gây ra những lo ngại nghiêm trọng về phạm vi tiếp xúc.

Mặc dù không có trường hợp nào được xác nhận cho thấy sự lây nhiễm trực tiếp của Dịch vụ Tên Ethereum hoặc các thư viện web3 phổ biến, nhưng rủi ro vẫn còn cao. Các cuộc tấn công trước đây trên npm và PyPI đã nhắm mục tiêu cụ thể vào các công cụ crypto, vì vậy các nhà phát triển làm việc trên ví, hợp đồng thông minh hoặc ứng dụng web3 nên giữ cảnh giác.

Tại sao các dự án Crypto phải đối mặt với rủi ro cao hơn

Các nhà phát triển thường dựa vào các gói npm trong các hệ thống CI/CD, containers và môi trường sản xuất. Do đó, một phụ thuộc bị xâm phạm có thể ảnh hưởng đến toàn bộ quy trình blockchain. Kẻ tấn công có thể chặn các hoạt động ví, thu thập cụm từ hạt giống hoặc đọc các bí mật triển khai liên quan đến việc quản lý hợp đồng thông minh.

Các nhà phát triển nên làm gì ngay bây giờ

Các chuyên gia kêu gọi các đội hành động ngay lập tức:

• Kiểm tra tất cả các phụ thuộc được sử dụng trước ngày 16 tháng 9 năm 2025
• Đóng gói phiên bản an toàn pin
• Quay vòng mọi thông tin xác thực của nhà phát triển, bao gồm GitHub, npm, SSH và mã thông báo đám mây
• Bật MFA chống lừa đảo trên tất cả các tài khoản

Sự cố Shai-Hulud làm nổi bật một sự thay đổi lớn trong an ninh mã nguồn mở. Các sâu chuỗi cung ứng tự động không còn là lý thuyết nữa. Hệ sinh thái hiện cần có các kiểm tra phụ thuộc nghiêm ngặt hơn, công cụ tốt hơn và quyền hạn chặt chẽ hơn cho những người duy trì.