Một làn sóng các cuộc tấn công chuỗi cung ứng mới đang đặt các nhà phát triển blockchain, đội ngũ Web3 và kỹ sư đám mây vào tình thế rủi ro nghiêm trọng. Các nhà nghiên cứu đã phát hiện một chiến dịch phối hợp bao gồm nhiều gói độc hại trên kho lưu trữ npm, mỗi gói được thiết kế để âm thầm đánh cắp các bí mật nhạy cảm ngay khi nhà phát triển cài đặt chúng. Từ khóa riêng tư SSH, thông tin xác thực đám mây, cụm từ ví đến mã thông báo API, chiến dịch này gần như không bỏ sót bí mật nào.
Các Mối Đe Dọa Mới Từ Kho Lưu Trữ npm
Quy mô của chiến dịch này đặc biệt đáng báo động. Một gói tin là trung tâm của cuộc điều tra, moralis-sdk, đã tích lũy hơn 2,7 triệu lượt tải xuống vào thời điểm các nhà nghiên cứu gắn cờ nó. Điều này cho thấy mã độc hại có thể đã ảnh hưởng đến hàng nghìn máy trạm của nhà phát triển, các quy trình CI/CD và môi trường đám mây mà không ai nhận ra.
Phát Hiện Chiến Dịch
Các nhà phân tích từ Cyfirma đã xác định chiến dịch sau khi phát hiện hai gói đáng ngờ, ethers-jss và coinbase-wallet-utils, cả hai đều được xây dựng để giả mạo các công cụ phát triển Ethereum hợp pháp. Qua điều tra sâu hơn, họ đã liên kết 11 gói npm rất đáng ngờ với cùng một hoạt động, như các nhà nghiên cứu tại Cyfirma đã nêu trong một báo cáo chia sẻ với Cyber Security News (CSN).
Các gói này không được xây dựng theo cùng một cách. Nghiên cứu của Cyfirma đã tiết lộ bốn cụm hoạt động riêng biệt, mỗi cụm nhắm mục tiêu các nhà phát triển thông qua một phương pháp khác nhau. Một số lạm dụng các hook vòng đời npm để tự động thực thi mã độc hại trong quá trình cài đặt, trong khi những gói khác dựa vào các bộ tải đã được làm rối và các hợp đồng thông minh Ethereum để truy xuất địa chỉ điều khiển và chỉ huy mà không cần mã hóa rõ ràng.
Tổng cộng, các gói này đã ghi nhận hơn 2,72 triệu lượt tải xuống kết hợp, biến đây trở thành một trong những chiến dịch chuỗi cung ứng npm có tác động lớn nhất gần đây. Hoạt động tải xuống tích cực trong quá trình điều tra đã xác nhận rằng một số gói vẫn đang tiếp cận các nạn nhân mới ngay cả sau khi được phát hiện.
Phương Pháp Lây Nhiễm và Khai Thác
Phương pháp lây nhiễm rất đơn giản một cách lừa đảo. Mỗi gói sử dụng các tập lệnh vòng đời npm, hoặc là hook preinstall hoặc postinstall, để kích hoạt mã độc hại ngay khi nhà phát triển chạy lệnh cài đặt. Không cần thêm bước nào từ phía nạn nhân.
Khai Thác Bí Mật Với Ethers-jss
Gói ethers-jss hoạt động như một lớp vỏ độc hại bao quanh thư viện ethers thực tế. Sau khi cài đặt, nó chặn các chức năng tạo ví và khôi phục để thu thập khóa riêng tư và cụm từ ghi nhớ, sau đó gửi chúng đến một máy chủ do kẻ tấn công kiểm soát trên GitHub Codespaces. Nó cũng bao gồm một tập lệnh Python có tên docker_hunter.py, thực hiện các tra cứu kiểu OSINT trên các kho lưu trữ Docker Hub có liên quan đến các công cụ blockchain.
Thu Thập Dữ Liệu Với Coinbase-wallet-utils
Gói coinbase-wallet-utils tập trung vào việc trinh sát, thu thập tên máy chủ, tên người dùng, biến môi trường và thư mục làm việc của nạn nhân, sau đó làm rò rỉ tất cả một cách im lặng bằng cách sử dụng curl.
Làm Rối và Mã Hóa Dữ Liệu
Một cụm riêng biệt gồm năm gói được xuất bản bởi người dùng npm ethcompat còn đi xa hơn. Chúng mã hóa các thông tin xác thực bị đánh cắp bằng AES-256-GCM và nhúng chúng vào các giao dịch blockchain Ethereum được gửi đến một ví do kẻ tấn công kiểm soát, biến ví của nạn nhân thành kênh làm rò rỉ dữ liệu. Đây là một ví dụ điển hình về việc các nhà phát triển cần cảnh giác với các mối đe dọa mạng mới.
Moralis-sdk và Cơ Chế Kích Hoạt Từ Xa
Gói moralis-sdk đặc biệt khéo léo. Nó bắt đầu như một bản sao sạch của Moralis SDK hợp pháp vào tháng 10 năm 2025, sau đó bị vũ khí hóa thông qua một bản cập nhật bổ sung tệp postinstall.js được làm rối nặng. Tệp này sử dụng một trang YouTube làm công tắc kích hoạt từ xa và chỉ cung cấp tải trọng của nó nếu tìm thấy một dấu hiệu ẩn, cho phép kẻ tấn công kiểm soát từ xa thời điểm kích hoạt mã độc.
Typosquatting và Tải Nhị Phân Đa Nền Tảng
Ba gói typosquatting, ganach, solidty và stelar-sdk, bổ sung thêm một lớp đổi mới. Thay vì mã hóa cứng địa chỉ máy chủ, các gói này truy vấn một hợp đồng thông minh Ethereum để lấy chi tiết cơ sở hạ tầng một cách động. Sau đó, mã độc sẽ tải xuống các tệp nhị phân dành riêng cho nền tảng cho Windows, Linux hoặc macOS tùy thuộc vào hệ thống của nạn nhân. Việc sử dụng các kỹ thuật này cho thấy sự tinh vi ngày càng tăng của các cuộc tấn công mạng.
Dấu Vết và Biện Pháp Phòng Ngừa
Dấu Vết Phân Tán
Các nhà nghiên cứu cũng tìm thấy một số gợi ý về việc truy tìm nguồn gốc. Các tài khoản được sử dụng để xuất bản các gói có tên được tạo ngẫu nhiên, một chiến thuật phổ biến để tránh bị truy vết. Mã đã giải rối chứa các nhận xét và tên biến bằng tiếng Nga, chỉ ra một tác nhân có động cơ tài chính với kinh nghiệm về tội phạm mạng liên quan đến tiền điện tử.
Khuyến Nghị Bảo Mật
Cyfirma khuyến nghị chạy cài đặt với cờ npm install --ignore-scripts để chặn việc thực thi tập lệnh tự động. Các tổ chức cũng nên triển khai các công cụ Phân tích Thành phần Phần mềm (SCA), tránh lưu trữ khóa riêng tư hoặc cụm từ hạt giống dưới dạng văn bản thuần túy và ngay lập tức xoay vòng bất kỳ thông tin xác thực nào bị lộ.
Các nhà phát triển trong môi trường Web3 nên xác minh danh tính nhà xuất bản, lịch sử tải xuống và quyền sở hữu kho lưu trữ trước khi thêm bất kỳ gói không quen thuộc nào vào dự án của họ. Việc áp dụng các biện pháp này là rất quan trọng để bảo vệ chống lại các lỗ hổng bảo mật tiềm ẩn.
Lưu ý: Địa chỉ IP và tên miền được làm mờ có chủ ý (ví dụ: `[.]`) để ngăn việc phân giải hoặc siêu liên kết ngẫu nhiên. Chỉ khôi phục định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Để tìm hiểu thêm về các mối đe dọa và lỗ hổng mới nhất, hãy truy cập CISA.
