CẢNH BÁO: PHÁT HIỆN WORM NPM TINH VI “MINI SHAI-HULUD” NHẮM VÀO DỰ ÁN DEV VÀ VÍ CRYPTO

MistEye Threat Intelligence vừa phát đi cảnh báo khẩn cấp về một loại npm worm cực kỳ tinh vi mang tên “Mini Shai-Hulud”, hiện đang lây lan thông qua các dự án developer uy tín như TanStack, UiPath và DraftLab.

🔷 TẤN CÔNG THÔNG QUA PACKAGE UPDATE “HỢP PHÁP”

Theo báo cáo, attacker đã chiếm quyền GitHub credentials của developer để phát hành các bản cập nhật package độc hại nhưng trông hoàn toàn hợp lệ.

Malware sau đó sẽ âm thầm chèn file script ngụy trang có tên router_init.js vào môi trường CI/CD như GitHub Actions để hoạt động nền mà gần như không bị phát hiện.

🔷 NHẮM THẲNG VÀO SECRET, CLOUD KEY VÀ VÍ CRYPTO

Worm này được thiết kế nhằm đánh cắp hàng loạt dữ liệu nhạy cảm bao gồm:

• CI/CD secrets
• API keys và cloud infrastructure credentials
• GitHub access tokens
• Ví crypto và dữ liệu liên quan blockchain

Đáng chú ý, dữ liệu bị đánh cắp được exfiltrate thông qua chính hạ tầng GitHub nhằm tránh bị phát hiện bởi các hệ thống giám sát truyền thống.

🔷 DEV VÀ DỰ ÁN CRYPTO CẦN HÀNH ĐỘNG NGAY

MistEye khuyến nghị các đội ngũ phát triển đang sử dụng các package bị ảnh hưởng cần lập tức:

• Kiểm tra pipeline CI/CD để tìm file router_init.js
• Rotate toàn bộ GitHub tokens, cloud keys và crypto credentials
• Theo dõi hoạt động background bất thường trong môi trường development
• Audit lại dependency và package update gần đây

📌 Vụ việc một lần nữa cho thấy chuỗi cung ứng phần mềm đang trở thành mục tiêu tấn công lớn trong ngành crypto và Web3, đặc biệt khi hacker ngày càng nhắm trực tiếp vào developer infrastructure thay vì chỉ tấn công smart contract.