Chiến dịch tấn công chuỗi cung ứng NPM quy mô lớn mang tên “Shai-Halud” đã gây ảnh hưởng nghiêm trọng đến hệ sinh thái JavaScript, nhắm mục tiêu vào hơn 477 gói NPM. Sự cố này dấy lên nhiều lo ngại sâu sắc đối với các nhà phát triển và tổ chức phụ thuộc vào phần mềm từ kho lưu trữ Node Package Manager (NPM).

Đây là một minh chứng rõ ràng về quy mô và mức độ tinh vi của các mối đe dọa mạng hiện đại đối với phần mềm mã nguồn mở. Nó cũng nhấn mạnh nhu cầu cấp thiết về các biện pháp bảo mật nâng cao trong cộng đồng phát triển để chống lại các hình thức tấn công chuỗi cung ứng NPM tương tự.

Phát Hiện và Phương Thức Xâm Nhập trong Tấn Công Chuỗi Cung Ứng NPM Shai-Halud

Chiến dịch Shai-Halud lần đầu tiên được các nhà nghiên cứu bảo mật phát hiện thông qua các hoạt động đáng ngờ liên quan đến các gói NPM có liên quan đến CrowdStrike.

Những kẻ tấn công đã giành được quyền truy cập trái phép vào các tài khoản nhà xuất bản đáng tin cậy. Điều này cho phép chúng tải lên mã độc hại vào hàng trăm gói hợp pháp được lưu trữ trên NPM.

Các nhà nghiên cứu đã chỉ ra rằng những kẻ tấn công đã sử dụng các công cụ tự động hóa để nhanh chóng đưa các gói rogue vào kho lưu trữ. Chúng đã khai thác các lỗ hổng trong bảo vệ tài khoản và giám sát không đầy đủ trong quá trình tấn công chuỗi cung ứng NPM này. Thông tin chi tiết về cuộc tấn công Shai-Halud có thể được tìm thấy tại đây.

Bằng chứng thu thập được cho thấy đây là một hoạt động phối hợp, quy mô lớn. Nó đặc biệt tìm kiếm các gói được tham chiếu trong môi trường doanh nghiệp.

Các Gói NPM Bị Ảnh Hưởng và IOCs

Các gói bị xâm phạm bao gồm:

• crowdstrike-sdk
• crowdstrike-client
• crowdstrike-api
• Và nhiều gói khác thường được dùng để tích hợp chức năng CrowdStrike vào các giải pháp bảo mật và tự động hóa.

Mục Tiêu Khai Thác và Hậu Quả Rò Rỉ Dữ Liệu

Sau khi được cài đặt, các gói bị lây nhiễm có khả năng thực thi các script sau cài đặt. Các script này được thiết kế để trích xuất các biến môi trường và thông tin bí mật (secrets) từ hệ thống mục tiêu.

Bằng cách nhắm mục tiêu vào các pipeline CI/CD và môi trường phát triển, những kẻ tấn công nhằm mục đích đánh cắp các token xác thực nhạy cảm, thông tin đăng nhập đám mây và các tệp cấu hình quan trọng. Đây là một hậu quả trực tiếp của tấn công chuỗi cung ứng NPM.

Cách tiếp cận này giúp chúng duy trì quyền truy cập liên tục vào các mạng nội bộ. Điều này có khả năng gây nguy hiểm cho các ứng dụng và dữ liệu quan trọng của doanh nghiệp.

Sự cố này đã dẫn đến nguy cơ rò rỉ dữ liệu nhạy cảm trên diện rộng, ảnh hưởng trực tiếp đến an toàn thông tin của các tổ chức.

Tác Động Lan Rộng của Tấn Công Chuỗi Cung Ứng NPM

Các chuyên gia bảo mật đã cảnh báo rằng do các gói NPM được sử dụng rộng rãi và thường có một cây phụ thuộc phức tạp. Những tác động dây chuyền của các cuộc tấn công chuỗi cung ứng NPM như Shai-Halud có thể rất lớn.

Nếu một gói duy nhất bị xâm phạm, mọi ứng dụng và thư viện phụ thuộc vào gói đó đều có thể trở thành mục tiêu của mối đe dọa mạng. Điều này làm tăng đáng kể bề mặt tấn công của hệ thống.

Biện Pháp Ứng Phó và Khuyến Nghị An Ninh Mạng

Sau khi phát hiện, kho lưu trữ NPM và các đối tác bảo mật đã nhanh chóng phối hợp để xác định và gỡ bỏ các gói độc hại. Đây là một bước quan trọng để giảm thiểu thiệt hại từ tấn công chuỗi cung ứng NPM.

Các nhà xuất bản bị ảnh hưởng đã được thông báo và nhận được hướng dẫn về việc kiểm tra và cập nhật các thư viện phụ thuộc của họ.

Các nhà phát triển đang sử dụng tích hợp CrowdStrike hoặc các gói NPM tương tự cần ngay lập tức rà soát danh sách phụ thuộc, gỡ bỏ bất kỳ gói nào bị gắn cờ. Đồng thời, họ cần đặt lại thông tin đăng nhập cho các môi trường có khả năng bị lộ.

Cuộc tấn công chuỗi cung ứng NPM này là một lời cảnh báo rõ ràng cho toàn bộ chuỗi cung ứng phần mềm. Các chuyên gia khuyến nghị thực thi xác thực đa yếu tố (MFA) cho tài khoản nhà xuất bản. Bên cạnh đó là giám sát tính toàn vẹn của gói và sử dụng các công cụ quét tự động để phát hiện hoạt động đáng ngờ.

Duy trì cảnh giác cao độ chống lại thao túng chuỗi cung ứng hiện là trách nhiệm quan trọng của mọi tổ chức dựa vào các thư viện mã nguồn mở để đảm bảo an ninh mạng hiệu quả và toàn diện.