GitHub Worm Tấn Công Các Gói npm Với 16 Triệu Lượt Tải Xuống

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯3520 từ

Một loại worm tự sao chép chiếm quyền điều khiển các pipeline của GitHub Actions để phát hành các gói npm độc hại đã tấn công trở lại, gây ảnh hưởng đến AntV, echarts-for-react và durabletask SDK của Microsoft. GitHub Worm tấn công các gói npm với 16 triệu lượt tải xuống Các điểm chính Mini Shai-Hulud khai thác GitHub Actions để đạt 16 triệu lượt tải xuống hàng tuần Chiến dịch Mini Shai-Hulud, được cho là do nhóm đe dọa Team PCP thực hiện, không hoạt động giống như hầu hết các cuộc tấn công chuỗi cung ứng. Thay vì đánh cắp thông tin đăng nhập của nhà phát triển và xuất bản trực tiếp, kẻ tấn công fork một kho lưu trữ mục tiêu trên GitHub, mở một pull request kích hoạt quy trình làm việc `pull_request_target`. Điều này làm nhiễm độc bộ nhớ cache của GitHub Actions bằng một pnpm store độc hại, và từ thời điểm đó, các gói bị nhiễm mang chứng chỉ ký hợp lệ và vượt qua các kiểm tra nguồn gốc SLSA, khiến chúng trông hoàn toàn sạch sẽ đối với các công cụ bảo mật tiêu chuẩn. Vào ngày 19 tháng 5, làn sóng mới nhất đã tấn công hệ sinh thái trực quan hóa dữ liệu AntV khi những kẻ tấn công giành quyền truy cập vào một tài khoản người bảo trì bị xâm nhập trong namespace @atool và xuất bản hơn 300 phiên bản gói độc hại trên 323 gói trong một đợt bùng phát tự động kéo dài 22 phút. Trong số các gói bị ảnh hưởng có echarts-for-react, một React wrapper cho Apache Echarts với khoảng 1,1 triệu lượt tải xuống hàng tuần. Tổng số lượt tải xuống hàng tuần trên tất cả các gói bị ảnh hưởng trong làn sóng này ước tính vào khoảng 16 triệu. Chi tiết kỹ thuật đáng báo động nhất là điều xảy ra nếu một nhà phát triển cố gắng can thiệp. Phần mềm độc hại cài đặt một dead-man’s switch, tức là một tập lệnh shell thăm dò API của GitHub mỗi 60 giây để kiểm tra xem token npm mà nó tạo ra đã bị thu hồi hay chưa. Token đó mang mô tả “IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner,” nếu bị nhà phát triển thu hồi, nó sẽ ngay lập tức xóa thư mục chính của máy bị nhiễm. Token này cũng đánh cắp thông tin đăng nhập từ GitHub, AWS, Azure, GCP, Kubernetes, Hashi Corp Vault và hơn 90 cấu hình công cụ dành cho nhà phát triển trước khi lan rộng theo chiều ngang qua cơ sở hạ tầng đám mây được kết nối. Một cuộc tấn công, nhiều nạn nhân Chiến dịch này đồng thời tấn công Python Package Index (PyPI) khi ba phiên bản độc hại của durabletask Python SDK chính thức của Microsoft được xuất bản vào ngày 19 tháng 5, âm thầm tải xuống và thực thi một payload đánh cắp thông tin đăng nhập dung lượng 28 KB (có khả năng di chuyển qua các môi trường AWS, Azure và GCP sau khi thực thi ban đầu). GitHub đã phản hồi vào ngày 20 tháng 5 với một thông báo nêu rõ ba thay đổi cốt lõi đối với việc xuất bản npm, cụ thể là tích hợp OIDC hàng loạt để giúp các tổ chức di chuyển hàng trăm gói sang xuất bản đáng tin cậy trên quy mô lớn, mở rộng hỗ trợ nhà cung cấp OIDC ngoài GitHub Actions và Gitlab, và một mô hình xuất bản theo giai đoạn mới cung cấp cho người bảo trì một cửa sổ đánh giá trước khi các gói được phát hành, yêu cầu phê duyệt xác thực đa yếu tố (MFA). Công ty cũng có kế hoạch loại bỏ các token cổ điển cũ, chuyển người dùng sang 2FA dựa trên FIDO và mặc định không cho phép xuất bản dựa trên token. Trong làn sóng tấn công trước đó vào tháng 9 năm 2025, GitHub đã xóa hơn 500 gói bị xâm nhập khỏi registry npm. Công ty bảo mật blockchain Slowmist đã đưa ra cảnh báo sớm vào ngày 14 tháng 5 sau khi gắn cờ ba phiên bản độc hại của node-ipc, một gói có 822.000 lượt tải xuống hàng tuần, như một phần của cùng chiến dịch này. Các nhà phát triển sử dụng bất kỳ gói nào bị gắn cờ đã được khuyến nghị kiểm tra ngay lập tức các cây phụ thuộc, xoay vòng tất cả thông tin đăng nhập mà không thu hồi token độc hại trước, và kiểm tra các chỉ số xâm nhập do Snyk, Wiz, Socket.dev và Step Security công bố.

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (Bitcoin.com)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản0 tin

Không tìm thấy sự kiện tương tự (cần thêm mẫu dữ liệu hoặc tìm kiếm embedding, hiện tại là đối chiếu từ khóa MVP)

Thông tin gốc

ID：9ba20d314a

Nguồn：Bitcoin.com

Đăng：2026-05-20 06:05:26

Danh mục：Chung · Danh mục xuất neutral

Tài sản：Chưa chỉ định

Bình chọn cộng đồng：+0 / −0 · ⭐ 0 quan trọng · 💬 0 bình luận