SlowMist cảnh báo tấn công chuỗi cung ứng npm, 23 gói bị ảnh hưởng

SlowMist cảnh báo một biến thể malware npm mới thuộc họ Shai-Hulud/Miasma/Hades đang lan trong hệ sinh thái npm, liên quan đến tài khoản nhà phát triển czirker bị xâm phạm.

Chiến dịch này tận dụng file binding.gyp đã được cài sẵn để chạy mã độc trong quá trình npm install. Đến thời điểm phát cảnh báo, đã xác nhận 23 gói bị ảnh hưởng; trong đó leo-logger có khoảng 3.140 lượt tải mỗi tuần.

SlowMist cho biết 408 kho GitHub bị ảnh hưởng đã được phát hiện và có chứa thông tin xác thực bị đánh cắp. Mã độc có thể lấy token GitHub, token npm và thông tin đăng nhập AWS/GCP/Azure, đồng thời trích xuất dữ liệu môi trường cục bộ.

Nhóm này cũng nêu khả năng mã độc lạm dụng GitHub Actions để mở rộng lây lan trong chuỗi cung ứng npm. Các đội ngũ bảo mật được khuyến nghị kiểm tra lockfile và lịch sử gói, gỡ hoặc hạ cấp gói bị ảnh hưởng, xoay vòng toàn bộ khóa và thông tin xác thực, đồng thời bật xác thực hai lớp.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.