SlowMist Cảnh báo cuộc tấn công chuỗi cung ứng Shai-Hulud 3.0 đã trở lại

Nguồn: CryptoNewsNet Tiêu đề gốc: SlowMist Cảnh Báo Tấn Công Chuỗi Cung Ứng Shai-Hulud 3.0 Đã Quay Trở Lại Liên kết gốc: Công ty an ninh mạng SlowMist đã phát đi cảnh báo mới sau khi phát hiện sự trở lại của cuộc tấn công chuỗi cung ứng Shai-Hulud, hiện được gọi là phiên bản 3.0. Cảnh báo này xuất phát từ Giám đốc An ninh Thông tin của SlowMist, được biết đến với tên gọi 23pds, người đã kêu gọi các nhóm và nền tảng Web3 tăng cường phòng thủ ngay lập tức. Theo cảnh báo, biến thể mới nhất nhắm vào hệ sinh thái NPM, một trình quản lý gói phổ biến trong phát triển phần mềm hiện đại.

Các cuộc tấn công chuỗi cung ứng loại này cho phép mã độc lan truyền qua các thư viện mã nguồn mở đáng tin cậy, thường mà các nhà phát triển không nhận ra. Do đó, ngay cả những nhiễm trùng nhỏ cũng có thể nhanh chóng mở rộng qua nhiều dự án. SlowMist lưu ý rằng các sự cố trước đó, bao gồm rò rỉ API key liên quan đến Trust Wallet, có thể bắt nguồn từ phiên bản Shai-Hulud cũ hơn. Sự xuất hiện trở lại của phần mềm độc hại này làm dấy lên lo ngại rằng các hacker đang tinh chỉnh và triển khai lại các kỹ thuật đã được chứng minh.

Điều Gì Làm Nên Sự Khác Biệt Của Shai-Hulud 3.0

Các nhà nghiên cứu an ninh cho biết Shai-Hulud 3.0 thể hiện những thay đổi rõ rệt về mặt kỹ thuật so với các phiên bản trước. Phân tích từ các nhà nghiên cứu độc lập cho thấy phần mềm độc hại này hiện sử dụng các tên tệp khác nhau, cấu trúc payload đã thay đổi và khả năng tương thích giữa các hệ điều hành được cải thiện. Chủng mới này được cho là đã loại bỏ “đèn đỏ chết người” trước đó, một tính năng có thể vô hiệu hóa phần mềm độc hại trong một số điều kiện nhất định. Mặc dù việc loại bỏ này giảm thiểu một số rủi ro, nhưng cũng cho thấy các hacker đang đơn giản hóa quá trình thực thi để tránh bị phát hiện.

Các nhà nghiên cứu cũng nhận thấy rằng phần mềm độc hại dường như đã được mã hóa từ mã nguồn gốc ban đầu thay vì sao chép trực tiếp. Chi tiết này cho thấy có sự truy cập vào các tài liệu tấn công trước đó và chỉ ra một tác nhân đe dọa tinh vi hơn. Các phát hiện ban đầu cho thấy phạm vi lây lan còn hạn chế, điều này ngụ ý rằng các hacker vẫn đang thử nghiệm payload.

Các Nhà Nghiên Cứu Điều Tra Các Gói NPM Hoạt Động

Các nhà nghiên cứu an ninh độc lập đã xác nhận rằng nhóm của họ đang tích cực điều tra chủng mới này. Theo các tiết lộ công khai, phần mềm độc hại đã được phát hiện trong một gói NPM cụ thể, kích hoạt một cuộc xem xét kỹ hơn các phụ thuộc liên quan. Cuộc điều tra cho thấy phần mềm độc hại cố gắng trích xuất các biến môi trường, thông tin xác thực đám mây và các tệp bí mật, sau đó tải dữ liệu này lên các kho lưu trữ do kẻ tấn công kiểm soát. Các kỹ thuật này phù hợp với các cuộc tấn công Shai-Hulud trước đó nhưng cho thấy trình tự và xử lý lỗi tinh vi hơn. Hiện tại, các nhà nghiên cứu cho biết chưa có bằng chứng về việc bị xâm phạm quy mô lớn, tuy nhiên, họ cảnh báo rằng các cuộc tấn công chuỗi cung ứng thường mở rộng nhanh chóng khi các hacker xác nhận tính ổn định.

Ngành Công Nghiệp Được Khuyến Khích Tăng Cường An Ninh Phụ Thuộc

SlowMist đã khuyên các nhóm dự án nên kiểm tra các phụ thuộc, khóa các phiên bản gói và giám sát các hành vi mạng bất thường. Các nhà phát triển cũng được khuyến khích xem xét lại các pipeline xây dựng và hạn chế quyền truy cập vào các thông tin xác thực nhạy cảm. Công ty nhấn mạnh rằng các mối đe dọa chuỗi cung ứng vẫn là một trong những rủi ro bị đánh giá thấp nhất trong Web3 và phần mềm mã nguồn mở. Ngay cả các nền tảng được bảo vệ tốt cũng có thể bị lộ qua các thư viện của bên thứ ba. Khi cuộc điều tra tiếp tục, các chuyên gia an ninh khuyên nên thận trọng thay vì hoảng loạn, tuy nhiên, họ đồng ý rằng Shai-Hulud 3.0 là một lời nhắc nhở rằng chuỗi cung ứng phần mềm vẫn là mục tiêu có giá trị cao.