SlowMist cảnh báo tấn công chuỗi cung ứng npm, 23 gói bị ảnh hưởng

SlowMist cảnh báo một biến thể malware npm mới thuộc họ Shai-Hulud/Miasma/Hades đang lan trong hệ sinh thái npm, liên quan đến tài khoản nhà phát triển czirker bị xâm phạm.

Chiến dịch này tận dụng file binding.gyp đã được cài sẵn để chạy mã độc trong quá trình npm install. Đến thời điểm phát cảnh báo, đã xác nhận 23 gói bị ảnh hưởng; trong đó leo-logger có khoảng 3.140 lượt tải mỗi tuần.

SlowMist cho biết 408 kho GitHub bị ảnh hưởng đã được phát hiện và có chứa thông tin xác thực bị đánh cắp. Mã độc có thể lấy token GitHub, token npm và thông tin đăng nhập AWS/GCP/Azure, đồng thời trích xuất dữ liệu môi trường cục bộ.

Nhóm này cũng nêu khả năng mã độc lạm dụng GitHub Actions để mở rộng lây lan trong chuỗi cung ứng npm. Các đội ngũ bảo mật được khuyến nghị kiểm tra lockfile và lịch sử gói, gỡ hoặc hạ cấp gói bị ảnh hưởng, xoay vòng toàn bộ khóa và thông tin xác thực, đồng thời bật xác thực hai lớp.