Worm Shai-Hulud tấn công hệ sinh thái NPM, làm tổn hại hơn 500 gói phần mềm và đe dọa tài sản tiền điện tử

Tóm tắt điều hành

Một cuộc tấn công chuỗi cung ứng tự sao chép, tinh vi đã làm tổn hại tính toàn vẹn của hệ sinh thái Node Package Manager (NPM), kho lưu trữ phần mềm lớn nhất thế giới. Một loại sâu, được các nhà nghiên cứu bảo mật đặt tên là Shai-Hulud, đã được xác định là lây nhiễm hơn 500 gói NPM riêng biệt, bao gồm các thư viện không thể thiếu cho các dự án tiền điện tử và Dịch vụ Tên Ethereum (ENS). Tải trọng chính là phần mềm độc hại đánh cắp thông tin đăng nhập, tạo ra các lỗ hổng bảo mật đáng kể và mối đe dọa trực tiếp về tổn thất tài chính cho các nhà phát triển và tổ chức.

Chi tiết sự kiện

Cuộc tấn công hoạt động như một loại sâu tự lan truyền. Điểm vào ban đầu của nó được cho là các tài khoản nhà phát triển NPM bị xâm phạm, một hệ quả của vụ xâm phạm s1ngularity/Nx vào cuối tháng 8 năm 2025, nơi việc đánh cắp mã thông báo GitHub ban đầu đã kích hoạt một chuỗi xâm phạm rộng hơn.

Sâu hoạt động thông qua một quy trình tự động: một khi nó lây nhiễm vào môi trường của nhà phát triển, nó sẽ đánh cắp các mã thông báo truy cập NPM và GitHub. Sau đó, nó sử dụng các thông tin xác thực này để truy cập tất cả các gói khác do người bảo trì bị xâm phạm sở hữu. Đối với mỗi gói, phần mềm độc hại sẽ truy xuất tarball của gói, sửa đổi tệp package.json, nhúng một tập lệnh cục bộ độc hại (bundle.js), lắp ráp lại kho lưu trữ và tái xuất bản phiên bản bị trojan hóa mới lên kho lưu trữ NPM. Sự lan truyền tự động này đã cho phép nó lây nhiễm hàng trăm gói một cách nhanh chóng.

Giải mã cơ chế tài chính

Mối đe dọa tài chính trực tiếp của sâu Shai-Hulud nằm ở chức năng của nó như một công cụ đánh cắp thông tin mạnh mẽ. Phần mềm độc hại được thiết kế để quét các môi trường nhà phát triển bị nhiễm để tìm dữ liệu nhạy cảm. Các mục tiêu chính của nó bao gồm mã thông báo xác thực cho các dịch vụ như GitHub và NPM, về cơ bản là chìa khóa để truy cập các kho lưu trữ phần mềm và kênh phân phối.

Quan trọng đối với các ngành tài chính và Web3, phần mềm độc hại được thiết kế rõ ràng để định vị và trích xuất các khóa riêng tư cho ví tiền điện tử. Nếu một nhà phát triển có máy bị nhiễm có khóa ví được lưu trữ trong môi trường của họ, phần mềm độc hại có thể đánh cắp chúng, cấp cho kẻ tấn công quyền kiểm soát trực tiếp bất kỳ tài sản kỹ thuật số liên quan nào. Điều này chuyển mối đe dọa vượt ra ngoài thiệt hại về danh tiếng sang tổn thất tài chính trực tiếp, không thể đảo ngược.

Hàm ý thị trường

Cuộc tấn công đã tạo ra một tâm lý tiêu cực trên khắp các cộng đồng mã nguồn mở và tiền điện tử, làm xói mòn niềm tin vào bảo mật của chuỗi cung ứng phần mềm. Đối với các công ty dựa vào NPM cho các phụ thuộc JavaScript, sự kiện này đòi hỏi phải kiểm tra bảo mật ngay lập tức và tốn kém để xác định và khắc phục rủi ro. Sự hiện diện tiềm ẩn của các gói bị xâm phạm như @ctrl/tinycolor hoặc các thư viện liên quan đến CrowdStrike trong môi trường sản xuất có thể dẫn đến các lỗ hổng bảo mật nghiêm trọng và tổn hại danh tiếng.

Impact to the crypto ecosystem is particularly acute. The compromise of libraries related to ENS and other crypto functionalities demonstrates a direct threat vector. The potential for widespread theft of wallet keys could undermine confidence in affected projects and the broader security of decentralized applications.

Bình luận của chuyên gia

Các công ty bảo mật phần lớn đồng thuận về mức độ nghiêm trọng và cơ chế của cuộc tấn công. Wiz Research đánh giá rằng chiến dịch này "trực tiếp là hậu quả của vụ xâm phạm s1ngularity/Nx vào cuối tháng 8 năm 2025", liên kết việc đánh cắp mã thông báo GitHub ban đầu với sự kiện đầu độc gói phần mềm hàng loạt này. Đánh giá này được chia sẻ bởi các thực thể an ninh mạng khác, bao gồm Palo Alto Networks Unit 42 và StepSecurity, cả hai đều đã phân tích bản chất tự sao chép của sâu.

Nhà cung cấp bảo mật Socket đã tích cực theo dõi sự lây lan và đã công bố danh sách các gói bị ảnh hưởng để hỗ trợ các nhà phát triển xác định các sự cố. Phân tích phối hợp từ các công ty này nhấn mạnh bản chất tinh vi, tự động của mối đe dọa và xác nhận chức năng chính của nó là một hoạt động đánh cắp dữ liệu.

Bối cảnh rộng hơn

Sâu Shai-Hulud thể hiện một sự leo thang đáng kể trong các cuộc tấn công chuỗi cung ứng phần mềm. Mặc dù các cuộc tấn công như vậy không phải là mới, nhưng khả năng tự lan truyền của sâu trên toàn bộ danh mục gói của nhà phát triển đánh dấu một sự phát triển nguy hiểm. Nó biến một điểm lỗi duy nhất—một mã thông báo nhà phát triển bị đánh cắp—thành một sự cố bảo mật leo thang, trên toàn hệ sinh thái.

Sự kiện này đóng vai trò như một lời cảnh tỉnh quan trọng, làm nổi bật các rủi ro hệ thống vốn có trong phát triển phần mềm phụ thuộc vào sự phụ thuộc hiện đại. Nó đặt ra một sự khẩn cấp mới về các thực hành bảo mật mạnh mẽ, chẳng hạn như xoay vòng mã thông báo truy cập, triển khai kiểm soát truy cập chặt chẽ hơn và sử dụng các công cụ để xác minh tính toàn vẹn của các gói phần mềm bên ngoài. Sự cố này đã thúc đẩy các cảnh báo từ các cơ quan chính phủ, bao gồm Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA), báo hiệu mức độ nghiêm trọng của mối đe dọa đối với cơ sở hạ tầng quan trọng.