SlowMist Cảnh báo cuộc tấn công chuỗi cung ứng Shai-Hulud 3.0 đã trở lại

Công ty an ninh mạng SlowMist đã phát hành một cảnh báo mới. Sau khi phát hiện sự trở lại của cuộc tấn công chuỗi cung ứng Shai-Hulud, hiện được gọi là phiên bản 3.0. Cảnh báo này xuất phát từ Giám đốc An ninh Thông tin của SlowMist, người được biết đến với tên 23pds, đã kêu gọi các nhóm và nền tảng Web3 tăng cường phòng thủ ngay lập tức. Theo cảnh báo, biến thể mới nhất nhắm vào hệ sinh thái NPM, một trình quản lý gói phổ biến trong phát triển phần mềm hiện đại.

Các cuộc tấn công chuỗi cung ứng loại này cho phép mã độc lan truyền qua các thư viện mã nguồn mở đáng tin cậy, thường mà các nhà phát triển không nhận ra. Do đó, ngay cả những nhiễm trùng nhỏ cũng có thể mở rộng nhanh chóng qua nhiều dự án. SlowMist lưu ý rằng các sự cố trước đó, bao gồm rò rỉ API key trong quá khứ liên quan đến Trust Wallet, có thể bắt nguồn từ một phiên bản Shai-Hulud trước đó. Sự xuất hiện trở lại của phần mềm độc hại này làm dấy lên lo ngại rằng các hacker đang tinh chỉnh và triển khai lại các kỹ thuật đã được chứng minh là hiệu quả.

Những điểm khác biệt của Shai-Hulud 3.0

Các nhà nghiên cứu an ninh cho biết Shai-Hulud 3.0 thể hiện những thay đổi kỹ thuật rõ rệt so với các phiên bản trước. Phân tích từ các nhà nghiên cứu độc lập cho thấy phần mềm độc hại này hiện sử dụng các tên tệp khác nhau, cũng như thay đổi cấu trúc payload và cải thiện khả năng tương thích trên các hệ điều hành khác nhau. Phiên bản mới được cho là đã loại bỏ “đèn đỏ chết người” trước đó, một tính năng có thể vô hiệu hóa phần mềm độc hại trong một số điều kiện nhất định. Mặc dù việc loại bỏ này giảm thiểu một số rủi ro, nhưng cũng cho thấy các hacker đang đơn giản hóa quá trình thực thi để tránh bị phát hiện.

Các nhà nghiên cứu cũng nhận thấy rằng phần mềm độc hại dường như đã được mã hóa từ mã nguồn gốc ban đầu thay vì sao chép trực tiếp. Chi tiết này cho thấy khả năng truy cập vào các tài liệu tấn công trước đó và chỉ ra một tác nhân đe dọa tinh vi hơn. Các phát hiện ban đầu cho thấy phạm vi lây lan còn hạn chế, điều này ngụ ý rằng các hacker vẫn đang thử nghiệm payload.

Các nhà nghiên cứu điều tra các gói NPM hoạt động

Nhà nghiên cứu an ninh độc lập Charlie Eriksen xác nhận rằng nhóm của ông đang tích cực điều tra biến thể mới này. Theo các tiết lộ công khai, phần mềm độc hại đã được phát hiện trong một gói NPM cụ thể, dẫn đến việc xem xét sâu hơn các phụ thuộc liên quan. Cuộc điều tra cho thấy phần mềm độc hại cố gắng trích xuất các biến môi trường, thông tin xác thực đám mây và các tệp bí mật, sau đó tải dữ liệu này lên các kho lưu trữ do hacker kiểm soát. Các kỹ thuật này phù hợp với các cuộc tấn công Shai-Hulud trước đó nhưng cho thấy chuỗi xử lý và xử lý lỗi tinh vi hơn. Hiện tại, các nhà nghiên cứu cho biết chưa có bằng chứng về việc bị xâm phạm quy mô lớn. Tuy nhiên, họ cảnh báo rằng các cuộc tấn công chuỗi cung ứng thường mở rộng nhanh chóng khi các hacker xác nhận tính ổn định của payload.

Ngành công nghiệp được khuyến nghị thắt chặt an ninh phụ thuộc

SlowMist đã khuyên các nhóm dự án kiểm tra các phụ thuộc, khóa các phiên bản gói và giám sát hành vi mạng bất thường. Các nhà phát triển cũng được khuyến khích xem xét lại quy trình xây dựng và hạn chế quyền truy cập vào các thông tin xác thực nhạy cảm. Công ty nhấn mạnh rằng các mối đe dọa chuỗi cung ứng vẫn là một trong những rủi ro bị đánh giá thấp nhất trong Web3 và phần mềm mã nguồn mở. Ngay cả các nền tảng được bảo vệ tốt cũng có thể bị lộ qua các thư viện bên thứ ba. Khi các cuộc điều tra tiếp tục, các chuyên gia an ninh khuyên nên thận trọng thay vì hoảng loạn. Tuy nhiên, họ đồng ý rằng Shai-Hulud 3.0 là một lời nhắc nhở rằng chuỗi cung ứng phần mềm vẫn là mục tiêu có giá trị cao.