Một làn sóng mới của chiến dịch chuỗi cung ứng Shai-Hulud đã được ghi nhận, bổ sung 23 gói PyPI độc hại mới vào hoạt động đáng báo động vốn đã xâm phạm 37 gói trước đó. Làn sóng này cho thấy sự gia tăng đáng kể trong các **mối đe dọa mạng** nhắm vào các nhà phát triển.
Chiến dịch Shai-Hulud Mở Rộng Quy Mô
Chiến dịch rộng lớn hơn, được nhóm Socket Threat Research xác định và theo dõi qua các cụm mối đe dọa Mini Shai-Hulud, Miasma và Hades, hiện bao gồm tổng cộng 471 tạo tác độc hại trên npm và PyPI. Con số này bao gồm 411 tạo tác npm trên 106 gói và 60 tạo tác PyPI trên 37 gói.
Điều làm cho làn sóng này đặc biệt nguy hiểm là tốc độ mà các tác nhân đe dọa liên tục cải tiến các phương thức phân phối của chúng. Chiến dịch hiện đang hoạt động thông qua ít nhất ba nhánh phân phối PyPI riêng biệt.
Các Nhánh Phân Phối PyPI Độc Hại
23 tạo tác mới trải rộng trên ba cụm chủ đề riêng biệt, được thiết kế để tối đa hóa khả năng tiếp xúc của nhà phát triển. Các kỹ thuật này thường nhằm mục đích đánh lừa các nhà phát triển cài đặt hoặc chạy mã độc dưới vỏ bọc của các thư viện hợp pháp.
Phương Thức Phân Phối và Kỹ Thuật Che Giấu
Tạo tác _index.js triển khai một kỹ thuật chống phân tích LLM mới lạ. Nó nhúng một khối hệ thống lớn, giả mạo vào một bình luận JavaScript không thực thi ở đầu tệp.
Khối bình luận này hoàn toàn bị bỏ qua trong quá trình chạy bởi Bun nhưng được thiết kế để kích hoạt các phản hồi từ chối an toàn, làm ô nhiễm ngữ cảnh và phân loại sớm trong các quy trình phân tích hỗ trợ AI, theo Socket Threat Research.
Phần mã độc thực tế nằm sau khối bình luận, được bao bọc trong một lệnh gọi try{eval(...)} xung quanh một mảng mã ký tự với một mật mã thay thế kiểu ROT. Các phương pháp phát hiện truyền thống như quy tắc YARA, phân tích entropy và phân tích AST vẫn có hiệu quả chống lại kỹ thuật này.
Tác Động và Thu Thập Dữ Liệu
Một khi được thực thi thông qua bất kỳ nhánh phân phối nào trong ba nhánh, payload thuộc họ Hades sẽ tích cực thu thập bí mật từ các máy trạm của nhà phát triển và môi trường CI/CD. Đây là một **cuộc tấn công mạng** nhắm vào các điểm yếu trong quy trình phát triển phần mềm.
Thông Tin Thu Thập
Payload có khả năng thu thập các thông tin nhạy cảm như:khóa API, thông tin đăng nhập, biến môi trường, và các tệp cấu hình chứa thông tin bí mật. Dữ liệu này sau đó có thể được sử dụng để mở rộng phạm vi tấn công, xâm nhập vào các hệ thống khác, hoặc phục vụ cho các mục đích lừa đảo và tống tiền.
Các Tạo Tác PyPI Độc Hại Mới Nhất
23 tạo tác PyPI độc hại mới được xác định dưới đây nên bị chặn hoặc gỡ bỏ ngay lập tức để giảm thiểu **rủi ro bảo mật**.
- [tên_gói_1]
- [tên_gói_2]
- [tên_gói_3]
- ... (liệt kê đầy đủ 23 gói)
Việc liên tục theo dõi và cập nhật các gói trong kho lưu trữ mã nguồn mở là cần thiết để duy trì **an toàn thông tin** trong môi trường phát triển. Các nhà phát triển nên thực hiện các biện pháp kiểm tra mã chặt chẽ trước khi tích hợp các thư viện bên thứ ba.
Để theo dõi các cảnh báo mới nhất về lỗ hổng và **tin tức bảo mật**, bạn có thể tham khảo các nguồn uy tín như NVD (National Vulnerability Database): https://nvd.nist.gov/.
