Sâu Shai-Hulud: Các bản sao đầu tiên đã xuất hiện và tấn công NPM

Theo báo cáo từ Ox Security, các bản sao đầu tiên của sâu Shai-Hulud đã xuất hiện chỉ vài ngày sau khi nhóm hacker TeamPCP công bố mã nguồn của loại mã độc này trên GitHub.

Mã độc Shai-Hulud

Shai-Hulud lần đầu tiên được sử dụng trong các cuộc tấn công chuỗi cung ứng nhắm vào hệ sinh thái phần mềm mã nguồn mở vào tháng 9 năm 2025, và sau đó tiếp tục tấn công vào tháng 11. Các chiến dịch này đã ảnh hưởng đến hàng trăm gói NPM và có thể đã lây nhiễm hàng ngàn nhà phát triển.

Mã độc này được thiết kế để đánh cắp thông tin đăng nhập, khóa API, token và các dữ liệu nhạy cảm khác từ máy tính bị nhiễm. Sau đó, nó sử dụng chính những thông tin này để tự lan truyền bằng cách tiêm mã độc vào các gói phần mềm do nạn nhân bảo trì và công bố phiên bản độc hại thay cho họ.

Mã nguồn được công khai và hậu quả

Sâu này tái xuất hiện vào tháng 4 trong các cuộc tấn công chuỗi cung ứng được quy cho nhóm hacker TeamPCP. Tuần trước, một số kho chứa mã nguồn của sâu Shai-Hulud đã xuất hiện ngắn hạn trên GitHub, kèm theo thông báo từ TeamPCP và BreachForums khuyến khích các tội phạm mạng sử dụng mã này trong một thử thách tấn công chuỗi cung ứng.

Các nhà nghiên cứu bảo mật đã ngay lập tức cảnh báo về sự gia tăng hoạt động liên quan đến mã độc sau khi mã nguồn được phát hành, và tội phạm mạng đã nhanh chóng thích nghi để bắt đầu sử dụng nó trong các cuộc tấn công mới.

Chi tiết các cuộc tấn công mới

Theo Ox Security, một tác nhân đe dọa đã công bố bốn gói NPM chứa mã độc đánh cắp thông tin, trong đó có một gói chứa mã của Shai-Hulud.

Gói phần mềm này được đặt tên là 'chalk-tempalte', là một bản sao trực tiếp của sâu Shai-Hulud. Đáng chú ý, nó không sử dụng kỹ thuật che giấu mã (obfuscation) và triển khai máy chủ chỉ huy và kiểm soát (C&C) cũng như khóa riêng tư của riêng mình.

"Bằng cách phân tích mã nguồn của phần mềm độc hại, các mẫu hình từ các cuộc tấn công Shai-Hulud trước đó ngay lập tức được nhận ra, như mong đợi. Điều này bao gồm việc tải thông tin đăng nhập bị đánh cắp lên một kho lưu trữ GitHub mới," Ox Security cho biết.

Ba gói còn lại do tác nhân đe dọa công bố đều sử dụng kỹ thuật "typo-squatting" (lợi dụng lỗi chính tả) để lây nhiễm người dùng Axios. Các gói này khác với Shai-Hulud, và một trong số đó biến máy tính bị nhiễm thành một phần của mạng botnet tấn công từ chối dịch vụ phân tán (DDoS).

Bốn gói nêu trên bao gồm: @deadcode09284814/axios-util, axois-utils, chalk-tempalte và color-style-utils. Tổng số lượt tải xuống hàng tuần của các gói này vượt quá 2.600.

Cảnh báo từ chuyên gia

Ox Security cảnh báo: "Chúng tôi hiện đang thấy một tác nhân duy nhất sử dụng nhiều kỹ thuật và loại mã độc đánh cắp thông tin khác nhau để phát tán mã độc lên NPM, và đây chỉ là giai đoạn đầu của một làn sóng tấn công chuỗi cung ứng sắp tới."

Sự kiện này nhấn mạnh rủi ro ngày càng tăng đối với hệ sinh thái mã nguồn mở, nơi mà việc công khai mã nguồn của các công cụ tấn công có thể dẫn đến sự bùng nổ nhanh chóng các biến thể nguy hiểm mới.