Shai-Hulud: Worm npm nguy hiểm nhất lịch sử

Shai-Hulud: Chiến dịch mã độc lớn nhất lịch sử npm

(Nguồn ảnh: Curly_photo / Getty)

Một chiến dịch malware có tên Shai-Hulud vừa được phát hiện, được xem là vụ tấn công chuỗi cung ứng (supply-chain) nghiêm trọng và nguy hiểm nhất trong hệ sinh thái npm JavaScript tính đến nay. Hàng trăm gói thư viện đã bị xâm phạm, trong đó có thư viện rất phổ biến như tinycolor và nhiều gói được duy trì bởi các công ty bảo mật lớn.

Các đặc điểm chính của chiến dịch

• Số lượng gói bị ảnh hưởng: ít nhất 180 gói bị xác nhận, có tài liệu nói trên 500 gói.

• Gói nổi bật bị nhiễm:

  @ctrl/tinycolor (có hàng triệu lượt tải mỗi tuần), nhiều thư viện do CrowdStrike quản lý cũng bị ảnh hưởng.

• Cách thức lây lan:

  1. Kẻ tấn công chèn mã độc vào

     postinstall script trong package.json — mã được đóng gói trong file bundle.js được obfuscate.

  2. Khi người dùng cài gói npm bị nhiễm, mã tự chạy, thu thập thông tin bảo mật như token npm, credential GitHub, key truy cập đám mây (AWS, GCP, Azure), biến môi trường, metadata môi trường đám mây.

  3. Nó còn tạo workflow GitHub Actions ẩn (ví dụ

     .github/workflows/shai-hulud-workflow.yml) để mỗi lần CI/CD chạy có thể gửi dữ liệu bí mật ra máy chủ của kẻ tấn công.

  4. Worm có khả năng tự tái phát tán: nếu phát hiện token npm có quyền với gói thư viện nào đó, nó sẽ tự động xuất bản phiên bản đã nhiễm mới cho các gói đó, từ đó lan rộng hơn.

Mức độ nguy hiểm và tác động

• Đây là một bước tiến lớn trong mức độ nguy hiểm so với những vụ tấn công npm trước đây vì tính tự lây lan (worm-like), và vì nó không chỉ đánh cắp token mà còn chèn mã luôn tồn tại trong workflow CI/CD.

• Thông tin nhạy cảm của nhà phát triển, tổ chức có thể bị rò rỉ — token GitHub, token npm, key cloud có thể dẫn tới truy cập bất hợp pháp vào hệ thống hoặc dữ liệu quan trọng.

• Kể cả khi gói npm bị xóa đi, workflow ẩn (nếu đã được thêm vào repository) có thể còn tiếp tục thực thi và tiếp tục lấy dữ liệu mật.

Hướng dẫn hành động để giảm thiểu rủi ro

1. Kiểm tra tất cả dependencies của các dự án — cả chính và phụ — xem có gói nào trong danh sách bị nhiễm.

2. Gắn chặt phiên bản thư viện: nếu có thể, khóa (pin) các phiên bản chắc chắn không bị nhiễm.

3. Xoay vòng (rotate) tất cả token, API key, mật khẩu dev nếu đã từng sử dụng các gói bị ảnh hưởng.

4. Kiểm tra repository để tìm workflow lạ (ví dụ tên shai-hulud-workflow.yml hoặc branch bất thường).

5. Bảo mật CI/CD pipeline — giới hạn quyền token, yêu cầu xác thực mạnh, kiểm tra kỹ các script khi cài đặt package.

6. Theo dõi hành vi bất thường: giao tiếp ra ngoài đáng ngờ, logs CI/CD, các kết nối tới webhook hoặc các máy chủ không rõ.