Trang chủ
Tin tức
Chi tiết

Phần mềm độc hại Shai-Hulud lây nhiễm vào các gói NPM/PyPI, đe dọa các ví tiền điện tử

iconChainGPT
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Phần mềm độc hại Shai-Hulud đã lây nhiễm hơn 320 gói NPM và PyPI, ảnh hưởng đến hơn 518 triệu lượt tải xuống mỗi tháng. Mối đe dọa này nhắm vào ví tiền điện tử và thông tin xác thực đám mây, với các vụ xâm phạm gần đây tại Mistral AI và OpenAI. Các nhà nghiên cứu liên kết phần mềm độc hại này với TeamPCP, từng đánh cắp 4.000 kho GitHub. Tin tức trên chuỗi nhấn mạnh sự cấp thiết của việc kiểm tra phụ thuộc chặt chẽ hơn và các bản phát hành được ký. Tin tức về AI + tiền điện tử cho thấy rủi ro ngày càng gia tăng trong các hệ sinh thái mã nguồn mở. Các chuyên gia kêu gọi sử dụng môi trường xây dựng cách ly để ngăn chặn sự lây lan thêm.

Shai-Hulud: phần mềm độc hại xâm nhập chuỗi cung ứng, len lỏi vào quy trình phát triển nhà phát triển—và vào ví tiền điện tử Một chiến dịch phần mềm độc hại tinh vi mang tên “Shai-Hulud” đang khai thác các công cụ tự động mà các nhà phát triển phụ thuộc vào để xây dựng và phân phối phần mềm, và phạm vi ảnh hưởng của nó khiến lo ngại. Các nhà nghiên cứu đã xác định khoảng 320 mục nhập gói độc hại trên các kho lưu trữ Node Package Manager (NPM) và PyPI liên quan đến chiến dịch này—những gói này cùng nhau đạt hơn 518 triệu lượt tải xuống mỗi tháng. Đối với các dự án tiền điện tử và bất kỳ nhóm nào phụ thuộc vào các hệ sinh thái này, hệ quả rõ ràng: quyền truy cập của kẻ tấn công vào công cụ phát triển có thể nhanh chóng dẫn đến đánh cắp thông tin xác thực đám mây và ví tiền điện tử. Cách nhiễm bệnh lan truyền Shai-Hulud không tấn công trực tiếp người dùng cuối. Thay vào đó, nó xâm nhập vào các gói đáng tin cậy và quy trình xây dựng, khiến phần mềm độc hại được tự động tải vào các dự án downstream trong quá trình phát triển và phát hành bình thường. Vì mã độc thường đến từ các kho lưu trữ gói hợp lệ, mang chữ ký hợp lệ và vượt qua các kiểm tra thông thường, nó có thể hòa lẫn—làm cho việc phát hiện trở nên khó khăn cho đến khi thiệt hại xảy ra. Tại sao điều này quan trọng “Phần mềm hiện đại được xây dựng bằng cách chạy mã của người khác,” Jeff Williams, CTO của Contrast Security, nói với Decrypt. “Các nhà phát triển không chỉ đơn thuần ‘tải xuống’ thư viện. Họ cài đặt chúng, xây dựng với chúng, kiểm thử với chúng, triển khai với chúng, và cuối cùng thực thi chúng. Và nếu bạn chạy một thư viện độc hại, nó có thể làm gần như bất cứ điều gì bạn có thể làm.” Ông cảnh báo rằng những tiến bộ trong AI làm tình hình trở nên tồi tệ hơn, so sánh tác động này với “việc biến một máy tính thành điệp viên hai mang.” Các sự kiện thực tế và hậu quả - Đầu tháng Năm, Microsoft Threat Intelligence tiết lộ kẻ tấn công đã chèn mã độc vào một gói Mistral AI trên PyPI. Phần mềm độc hại cũng tải về một tệp được thiết kế giống như thư viện Transformers của Hugging Face để hòa nhập vào môi trường ML. Mistral sau đó cho biết một thiết bị của nhà phát triển bị ảnh hưởng, nhưng không tìm thấy bằng chứng hệ thống của họ bị xâm phạm. - Hai ngày sau, OpenAI xác nhận hai thiết bị nhân viên bị nhiễm phần mềm độc hại liên quan đến Shai-Hulud, khiến kẻ tấn công có quyền truy cập tạm thời vào một số kho mã nội bộ hạn chế. Công ty báo cáo không có bằng chứng nào cho thấy dữ liệu khách hàng, hệ thống sản xuất hoặc tài sản trí tuệ bị xâm phạm. - Chiến dịch thu hút sự chú ý rộng rãi hơn sau cuộc tấn công vào TanStack vào ngày 11 tháng Năm—một khung công tác JavaScript mã nguồn mở được sử dụng rộng rãi, hỗ trợ nhiều ứng dụng web và đám mây. Quy mô và tác nhân Các nhà nghiên cứu đã truy ngược các phiên bản trước của Shai-Hulud về tháng Chín năm 2025 và liên kết chúng với các tội phạm mạng hoạt động dưới biệt danh TeamPCP. Nhóm tội phạm sau đó tuyên bố đã đánh cắp khoảng 4.000 kho GitHub riêng và rao bán dữ liệu này—GitHub cho biết đang điều tra các vụ truy cập trái phép vào kho nội bộ. Đồng thời, công ty bảo mật OX Security báo cáo đã có các gói giả mạo đang lưu hành nhằm đánh cắp thông tin xác thực ví tiền điện tử và đám mây, khóa SSH và biến môi trường, và một số biến thể còn cố gắng lôi kéo các máy bị nhiễm vào các botnet DDoS. Ghi chú kỹ thuật và manh mối định danh OX Security lưu ý rằng một số mẫu mới gần như giống hệt nguồn Shai-Hulud bị rò rỉ mà không bị che giấu, cho thấy các tác nhân khác nhau đang tái đóng gói mã thay vì phát triển các biến thể mới. Việc tái sử dụng như vậy làm tăng tốc độ lan truyền: việc xâm nhập vào một gói nhỏ hoặc ít nổi bật cung cấp cho kẻ tấn công một kênh dẫn vào mọi dự án downstream tin tưởng nó, cho phép đánh cắp token, xuất bản độc hại và lặp lại nhiều vòng nhiễm độc. Tại sao các dự án tiền điện tử nên chú ý Đối với các nhóm blockchain và tiền điện tử, bề mặt tấn công bao gồm máy phát triển, CI/CD, kho lưu trữ gói và hệ thống xuất bản tự động—những khu vực mà kẻ tấn công ngày càng nhắm tới vì chúng mang lại đòn bẩy cao. Khi thông tin xác thực ví, biến môi trường hoặc khóa API đám mây bị lộ thông qua phụ thuộc bị xâm phạm hoặc bộ nhớ đệm xây dựng, kẻ tấn công có thể di chuyển từ môi trường phát triển vào hệ thống sản xuất và tài sản tài chính. Các biện pháp phòng vệ thực tế Các chuyên gia nhấn mạnh rằng chuỗi cung ứng phần mềm không còn là một chuỗi đơn giản mà là một mạng lưới lan truyền, và các biện pháp phòng vệ phải phản ánh điều đó. Các biện pháp giảm thiểu được khuyến nghị bao gồm: - Kiểm soát phụ thuộc chặt chẽ hơn và cố định phiên bản nghiêm ngặt. - Các biện pháp bảo vệ xuất bản mạnh mẽ hơn và các bản phát hành được ký và xác minh. - Sử dụng thông tin xác thực có quyền tối thiểu cho CI/CD và xoay vòng token thường xuyên. - Môi trường xây dựng cách ly và bộ nhớ đệm xây dựng bất biến. - Quét tự động để phát hiện can thiệp phụ thuộc và các nguồn cấp dữ liệu trí tuệ đe dọa để phát hiện sớm các gói độc hại. “Shai-Hulud là lời nhắc nhở rằng bề mặt tấn công mở rộng xa hơn cả các lớp ứng dụng truyền thống và đi vào các gói mã nguồn mở thúc đẩy quy trình phát triển và triển khai hiện đại,” Joris Van De Vis, Giám đốc Nghiên cứu Bảo mật tại SecurityBridge, nói với Decrypt. Đối với những người xây dựng tiền điện tử, điều đó có nghĩa là bảo vệ quy trình phát triển quan trọng không kém gì việc bảo vệ hợp đồng thông minh và ví—bởi vì một bản xây dựng bị nhiễm độc có thể là con đường nhanh nhất dẫn đến tài sản bị xâm phạm. Tóm lại: kẻ tấn công đang vũ khí hóa cơ sở hạ tầng đáng tin cậy. Các dự án phụ thuộc vào gói công khai, CI/CD tự động và bộ nhớ đệm xây dựng chung phải áp dụng các biện pháp kiểm soát nghiêm ngặt hơn và phát hiện nhanh để giữ an toàn cho mã nguồn—và tiền điện tử.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.