SlowMist cảnh báo cuộc tấn công chuỗi cung ứng Shai-Hulud 3.0 đã quay trở lại

Công ty an ninh mạng SlowMist đã đưa ra một cảnh báo mới. Sau khi phát hiện sự trở lại của cuộc tấn công chuỗi cung ứng Shai-Hulud, hiện được gắn nhãn phiên bản 3.0. Cảnh báo được đưa ra bởi Giám đốc An ninh Thông tin của SlowMist, được biết đến với biệt danh 23pds, người kêu gọi các đội ngũ và nền tảng Web3 ngay lập tức tăng cường phòng thủ. Theo cảnh báo, biến thể mới nhất nhắm vào hệ sinh thái NPM, một trình quản lý gói được sử dụng rộng rãi trong phát triển phần mềm hiện đại.

Các cuộc tấn công chuỗi cung ứng kiểu này cho phép mã độc lây lan thông qua các thư viện mã nguồn mở đáng tin cậy, thường là khi các nhà phát triển không hề hay biết. Do đó, ngay cả những lây nhiễm nhỏ cũng có thể nhanh chóng lan rộng trên nhiều dự án. SlowMist lưu ý rằng các sự cố trước đây, bao gồm một vụ rò rỉ khóa API trong quá khứ liên quan đến Trust Wallet, có thể bắt nguồn từ một phiên bản Shai-Hulud trước đó. Việc mã độc tái xuất hiện làm dấy lên lo ngại rằng các đối tượng tấn công đang tinh chỉnh và triển khai lại những kỹ thuật đã được chứng minh hiệu quả.

Điều gì khiến Shai-Hulud 3.0 khác biệt

Các nhà nghiên cứu an ninh cho biết Shai-Hulud 3.0 thể hiện những thay đổi kỹ thuật rõ rệt so với các phiên bản trước. Phân tích từ các nhà nghiên cứu độc lập cho thấy mã độc hiện sử dụng các tên tệp khác nhau. Cấu trúc payload cũng đã được thay đổi và khả năng tương thích trên các hệ điều hành được cải thiện. Chủng mới được cho là đã loại bỏ “dead man switch” trước đây, một tính năng có thể vô hiệu hóa mã độc trong một số điều kiện nhất định. Việc loại bỏ này tuy làm giảm một số rủi ro, nhưng đồng thời cho thấy kẻ tấn công đang đơn giản hóa quá trình thực thi để tránh bị phát hiện.

Các nhà nghiên cứu cũng quan sát thấy mã độc dường như được làm rối từ mã nguồn gốc thay vì sao chép trực tiếp. Chi tiết này cho thấy có quyền truy cập vào các tài liệu của những cuộc tấn công trước đó và chỉ ra một tác nhân đe dọa tinh vi hơn. Những phát hiện ban đầu cho thấy phạm vi lây lan hiện vẫn còn hạn chế, hàm ý rằng kẻ tấn công có thể đang trong giai đoạn thử nghiệm payload.

Các nhà nghiên cứu điều tra các gói NPM đang hoạt động

Nhà nghiên cứu an ninh độc lập Charlie Eriksen xác nhận rằng nhóm của ông đang tích cực điều tra chủng mới. Theo các công bố công khai, mã độc được phát hiện bên trong một gói NPM cụ thể, kích hoạt việc rà soát sâu hơn các dependency liên quan. Cuộc điều tra cho thấy mã độc tìm cách trích xuất các biến môi trường, thông tin xác thực đám mây và các tệp chứa bí mật. Sau đó, dữ liệu này được tải lên các kho do kẻ tấn công kiểm soát. Những kỹ thuật này tương đồng với các cuộc tấn công Shai-Hulud trước đây nhưng cho thấy trình tự và khả năng xử lý lỗi được tinh chỉnh hơn. Hiện tại, các nhà nghiên cứu cho biết chưa có bằng chứng về sự xâm nhập trên diện rộng. Tuy nhiên, họ cảnh báo rằng các cuộc tấn công chuỗi cung ứng thường mở rộng rất nhanh khi kẻ tấn công xác nhận được tính ổn định.

Ngành công nghiệp được kêu gọi siết chặt bảo mật dependency

SlowMist khuyến nghị các nhóm dự án tiến hành kiểm toán dependency, khóa phiên bản gói và theo dõi các hành vi mạng bất thường. Các nhà phát triển cũng được khuyến khích rà soát pipeline build và hạn chế quyền truy cập vào các thông tin xác thực nhạy cảm. Công ty nhấn mạnh rằng các mối đe dọa chuỗi cung ứng vẫn là một trong những rủi ro bị đánh giá thấp nhất trong Web3 và phần mềm mã nguồn mở. Ngay cả những nền tảng được bảo mật tốt cũng có thể bị phơi nhiễm thông qua các thư viện bên thứ ba. Khi các cuộc điều tra tiếp tục, các chuyên gia an ninh khuyến nghị thận trọng thay vì hoảng loạn. Tuy nhiên, họ đồng thuận rằng Shai-Hulud 3.0 là một lời nhắc nhở rõ ràng rằng chuỗi cung ứng phần mềm vẫn là mục tiêu có giá trị cao.