Sâu Shai-Hulud giả mạo tiếp tục lây lan qua gói npm mới

Sâu Shai-Hulud giả mạo tiếp tục lây lan qua gói npm mới

Một bản sao của sâu Shai-Hulud đã xuất hiện trong một gói npm khác chỉ năm ngày sau khi nhóm TeamPCP mã nguồn mở cho con sâu này và công bố một cuộc thi tấn công chuỗi cung ứng trên BreachForums.

Gói bị nhiễm độc, chalk-template, ngụy trang như một tiện ích mở rộng cho thư viện định dạng chuỗi terminal phổ biến Chalk của JavaScript. Hiện tại, nó chứa một bản sao của Shai-Hulud, mà TeamPCP đã công bố lên GitHub vào tuần trước sau khi làm nhiễm độc hơn 170 gói npm bằng phần mềm đánh cắp thông tin xác thực như một phần của các cuộc tấn công chuỗi cung ứng đang diễn ra nhắm vào các công cụ phát triển mã nguồn mở.

Ngoài ra, cùng một kẻ tấn công đã tải sâu lên chalk-template cũng đã công bố ba gói npm độc hại khác - @deadcode09284814/axios-util, axois-utils, và color-style-utils - chứa mã đánh cắp thông tin, theo các nhà nghiên cứu bảo mật tại Ox Security, những người đã phát hiện và báo cáo phần mềm độc hại vào cuối tuần qua.

Các biến thể độc hại đa dạng

"Bốn phần mềm độc hại này vốn khác nhau, vì dữ liệu thu thập được khác nhau giữa chúng, bao gồm địa chỉ IP bị đánh cắp, cấu hình đám mây, ví tiền điện tử, biến môi trường, và thậm chí một phần mềm độc hại biến máy của nạn nhân thành botnet DDoS - tất cả đều từ cùng một người dùng npm," nhà nghiên cứu Moshe Siman Tov Bustan viết vào Chủ nhật.

Bất kỳ ai cài đặt bất kỳ phiên bản nào của các gói này đều bị ảnh hưởng, ông thêm vào, lưu ý rằng tổng số lượt tải xuống hàng tuần là 2.678.

Vào thứ Hai, các nhà nghiên cứu cho biết The Register rằng người dùng npm đứng sau cả bốn lây nhiễm đánh cắp thông tin mới này đã chạy chiến dịch chuỗi cung ứng từ một máy tính gia đình hoặc trang trại máy chủ cục bộ. "Việc sử dụng lhr.life là một chỉ báo rõ ràng của một reverse proxy được sử dụng để phơi bày mạng nội bộ ra internet," họ viết trong một email, thêm rằng những kẻ xấu dường như có động cơ tài chính vì mã nhắm vào ví tiền điện tử và tài khoản của nạn nhân.

Ngoài ra, thành phần botnet DDoS "có thể cho thấy sự liên kết với các nhóm vô chính phủ muốn hạ hạ cơ sở hạ tầng và dịch vụ, hoặc ý định bán nó dưới dạng DDoS-as-a-service," họ thêm vào.

Khuyến cáo và giải pháp

Nếu bạn đang chạy bất kỳ gói nào trong số bốn gói này, hãy gỡ cài đặt ngay lập tức gói độc hại và xóa bất kỳ cấu hình độc hại liên quan khỏi các IDE và Claude Code hoặc các tác nhân lập trình khác. Bạn cũng nên thay đổi khóa (rotate keys) trên bất kỳ máy bị ảnh hưởng nào và kiểm tra các kho lưu trữ GitHub chứa chuỗi "A Mini Sha1-Hulud has Appeared," cửa hàng bảo mật ứng dụng cảnh báo.

Bản sao Shai-Hulud, giống như con sâu gốc, đánh cắp bí mật, thông tin xác thực, ví tiền điện tử, tài khoản và dữ liệu nhạy cảm khác, và gửi tất cả những thứ này đến một máy chủ chỉ huy và kiểm soát từ xa: 87e0bbc636999b[.]lhr[.]life. Nó cũng tải thông tin xác thực bị đánh cắp lên một kho lưu trữ GitHub mới.

Phần mềm độc hại @deadcode09284814/axios-util thu thập và đánh cắp các khóa SSH, biến môi trường và thông tin xác thực đám mây đến 80[.]200[.]28[.]28:2222, và trình đánh cắp color-style-utils hút sạch địa chỉ IP, vị trí địa lý IP và ví tiền điện tử và gửi chúng đến edcf8b03c84634[.]lhr[.]life.

Gói npm độc hại thứ tư (axois-utils) gọi tải trọng của nó là "phantom bot". Mã được viết bằng Go và chứa một botnet DDoS làm ngập các trang web bằng các yêu cầu HTTP, TCP, UDP và Reset. Các cơ chế duy trì cũng đảm bảo nó vẫn nằm trên máy bị nhiễm thậm chí sau khi gói đã bị xóa.

Tất cả bốn gói này đều từ cùng một người dùng npm, và Bustan cảnh báo rằng làn sóng các trình đánh cắp thông tin lan rộng qua npm này "chỉ là giai đoạn đầu của một làn sóng các cuộc tấn công chuỗi cung ứng sắp tới."