Hơn 1.800 nhà phát triển bị ảnh hưởng trong cuộc tấn công chuỗi cung ứng Mini Shai-Hulud

Hơn 1.800 nhà phát triển đã trở thành nạn nhân của cuộc tấn công chuỗi cung ứng mang tên Mini Shai-Hulud, nhắm vào các hệ sinh thái PyPi, NPM và PHP trong hai ngày qua.

Mã nguồn NPM và phát triển phần mềm

Chiến dịch này được quy cho nhóm hacker TeamPCP và lần đầu tiên được phát hiện vào ngày 29/4. Điểm khởi đầu là việc phát hiện các phiên bản độc hại của bốn gói NPM của SAP, được sử dụng để phát tán phần mềm độc hại đánh cắp thông tin và cố gắng lây lan sang các gói khác.

Cơ chế hoạt động của phần mềm độc hại

Malware này được thiết kế để thu thập thông tin đăng nhập, khóa mã hóa (keys), token và các dữ liệu nhạy cảm khác từ máy tính bị nhiễm. Sau đó, nó công bố dữ liệu này lên các kho lưu trữ GitHub với mô tả được mã hóa cứng là “A Mini Shai-Hulud has Appeared”.

Cùng một mô tả này cũng xuất hiện trong làn sóng lây nhiễm mới liên quan đến việc bị xâm nhập của gói Lightning trên PyPi và gói intercom-client trên NPM. Tổng lượt tải xuống hàng tháng của hai gói này lên tới gần 10 triệu, cho thấy quy mô ảnh hưởng tiềm năng rất lớn.

Theo Ox Security, hơn 1.800 kho lưu trữ chứa thông tin đăng nhập bị đánh cắp của nhà phát triển đã được tạo ra như một phần của các cuộc tấn công Mini Shai-Hulud. Chiến dịch này dường như là sự tiếp nối của các cuộc tấn công chuỗi cung ứng Shai-Hulud diễn ra vào cuối năm 2025.

Các gói phần mềm bị ảnh hưởng

Trong khuôn khổ cuộc tấn công chuỗi cung ứng này, các phiên bản 2.6.2 và 2.6.3 của gói Lightning (Python) và các phiên bản 7.0.4 và 7.0.5 của gói intercom-client (NPM) đã bị tiêm mã độc đánh cắp thông tin.

Ngoài ra, cuộc tấn công còn mở rộng sang Packagist thông qua phiên bản 5.0.2 của intercom-php. Đây là một gói PHP phổ biến với hơn 20 triệu lượt tải xuống trọn đời.

Wiz, một công ty an ninh mạng, lưu ý rằng sự xâm nhập của Intercom là kết quả trực tiếp từ cuộc tấn công chuỗi cung ứng Lightning. Một cài đặt gói cục bộ đã sử dụng gói Lightning PyPi bị nhiễm làm phụ thuộc.

Khả năng tấn công nâng cao

Ngoài các chức năng độc hại quan sát được trong vụ việc SAP, payload của Lightning và Intercom còn bổ sung cơ sở hạ tầng chuyên dụng để tuyển xuất dữ liệu thông qua tên miền zero[.]masscan[.]cloud.

Mã độc cũng triển khai cơ chế dự phòng động, tìm kiếm trên GitHub các lượt commit chứa các chuỗi ‘beautifulcastle’ và ‘EveryBoiWeBuildIsAWormyBoi’ để truy xuất các lệnh điều khiển (C&C).

Đáng chú ý, Wiz đã quan sát thấy payload của intercom-client đang chủ động quét tìm các môi trường Kubernetes và bí mật của HashiCorp Vault.

“Nó truy vấn các điểm cuối dịch vụ Kubernetes và cấu hình Vault, sử dụng khớp mẫu dựa trên regex rộng rãi để trích xuất thông tin đăng nhập như khóa AWS, token GitHub và npm, chuỗi kết nối cơ sở dữ liệu, khóa riêng tư và bí mật API (ví dụ: Stripe, Slack, Twilio),” Wiz cho biết.

Theo Aikido, phần mềm đánh cắp thông tin này còn nhắm vào thông tin đăng nhập VPN, dữ liệu ví tiền điện tử và dữ liệu phiên làm việc của Discord và Slack.