Công ty an ninh mạng SlowMist vừa đưa ra cảnh báo mới nhất sau khi phát hiện sự trở lại của cuộc tấn công chuỗi cung ứng Shai-Hulud, hiện được gắn nhãn là phiên bản 3.0. Cảnh báo này đến từ Giám đốc An ninh Thông tin của SlowMist, được biết đến với biệt danh 23pds, người đã kêu gọi các nhóm và nền tảng Web3 tăng cường phòng thủ ngay lập tức. Theo cảnh báo, biến thể mới nhất nhắm mục tiêu vào hệ sinh thái NPM, một trình quản lý gói được sử dụng rộng rãi trong phát triển phần mềm hiện đại.
Các cuộc tấn công chuỗi cung ứng kiểu này cho phép mã độc lây lan qua các thư viện mã nguồn mở đáng tin cậy, thường là mà các nhà phát triển không hề hay biết. Kết quả là, ngay cả những lây nhiễm nhỏ cũng có thể nhanh chóng lan rộng trên nhiều dự án. SlowMist lưu ý rằng các sự cố trước đây, bao gồm cả vụ rò rỉ khóa API liên quan đến Trust Wallet, có thể bắt nguồn từ một phiên bản Shai-Hulud cũ hơn. Sự xuất hiện trở lại của phần mềm độc hại này làm dấy lên lo ngại rằng tin tặc đang tinh chỉnh và tái sử dụng các kỹ thuật đã được chứng minh hiệu quả.
Điều gì làm cho Shai-Hulud 3.0 khác biệt?
Các nhà nghiên cứu bảo mật cho biết Shai-Hulud 3.0 có những thay đổi kỹ thuật rõ rệt so với các phiên bản trước đó. Phân tích từ các nhà nghiên cứu độc lập chỉ ra rằng phần mềm độc hại này hiện sử dụng các tên tệp khác nhau. Nó cũng đã thay đổi cấu trúc tải trọng và cải thiện khả năng tương thích trên các hệ điều hành. Phiên bản mới được cho là đã loại bỏ "công tắc tử thần" trước đây. Đây là một tính năng có thể vô hiệu hóa phần mềm độc hại trong một số điều kiện nhất định. Mặc dù việc loại bỏ này làm giảm một số rủi ro, nhưng nó cũng cho thấy những kẻ tấn công đang đơn giản hóa quá trình thực thi để tránh bị phát hiện.
⚠️
- 23pds (山哥) (@im23pds) Ngày 29 tháng 12 năm 2025
NPM 供应链攻击 Shai-Hulud 3.0 再次来袭请各项目方和平台注意防范!
此前怀疑 @TrustWallet Khóa API 泄露可能就是 Shai-Hulud 2.0 攻击导致的结果。
cc @evilcos @Foresight_News @wublockchain12 https://t.co/mfLw43X035
Các nhà nghiên cứu cũng quan sát thấy rằng phần mềm độc hại dường như được mã hóa từ mã nguồn gốc chứ không phải sao chép trực tiếp. Chi tiết này cho thấy chúng đã tiếp cận được các tài liệu tấn công trước đó và chỉ ra rằng kẻ tấn công có trình độ cao hơn. Những phát hiện ban đầu cho thấy sự lây lan còn hạn chế, ngụ ý rằng những kẻ tấn công có thể vẫn đang thử nghiệm phần mềm độc hại này.
Các nhà nghiên cứu đang điều tra các gói NPM đang hoạt động.
Nhà nghiên cứu bảo mật độc lập Charlie Eriksen đã xác nhận rằng nhóm của ông đang tích cực điều tra biến thể mới này. Theo các thông tin công khai, phần mềm độc hại được phát hiện bên trong một gói NPM cụ thể. Nó kích hoạt quá trình xem xét sâu hơn các phụ thuộc liên quan. Cuộc điều tra cho thấy phần mềm độc hại cố gắng trích xuất các biến môi trường, thông tin đăng nhập đám mây và các tệp bí mật. Sau đó, nó tải dữ liệu này lên các kho lưu trữ do kẻ tấn công kiểm soát. Các kỹ thuật này nhất quán với các cuộc tấn công Shai-Hulud trước đó nhưng cho thấy trình tự và khả năng xử lý lỗi tinh vi hơn. Hiện tại, các nhà nghiên cứu cho biết chưa có bằng chứng về sự xâm nhập quy mô lớn. Tuy nhiên, họ cảnh báo rằng các cuộc tấn công chuỗi cung ứng thường lan rộng nhanh chóng một khi kẻ tấn công xác nhận được tính ổn định.
Ngành công nghiệp được kêu gọi thắt chặt an ninh phụ thuộc.
SlowMist đã khuyến cáo các nhóm dự án nên kiểm tra các phụ thuộc, khóa phiên bản gói và giám sát hành vi mạng bất thường. Các nhà phát triển cũng được khuyến khích xem xét lại quy trình xây dựng và hạn chế quyền truy cập vào thông tin đăng nhập nhạy cảm. Công ty nhấn mạnh rằng các mối đe dọa chuỗi cung ứng vẫn là một trong những rủi ro bị đánh giá thấp nhất trong Web3 và phần mềm mã nguồn mở. Ngay cả các nền tảng được bảo mật tốt cũng có thể bị lộ thông qua các thư viện của bên thứ ba. Khi các cuộc điều tra tiếp tục, các chuyên gia bảo mật khuyến nghị nên thận trọng hơn là hoảng loạn. Tuy nhiên, họ đồng ý rằng Shai-Hulud 3.0 là lời nhắc nhở rằng chuỗi cung ứng phần mềm vẫn là mục tiêu có giá trị cao.
