Cảnh báo an niên khẩn cấp từ SlowMist
Phòng thí nghiệm An niên mạng SlowMist đã phát hành cảnh báo an niên khẩn cấp với mã SM-2026-352284. Theo tuyên bố chính thức, một cuộc tấn công chuỗi cung ứng đa đăng ký đang hoạt động đã được phát hiện, nhắm vào những người tạo ra các sản phẩm Web3 và AI.
Những kẻ tấn công đã tiêm hơn 34 gói độc hại và 384 phiên bản liên quan vào các kho lưu trữ lớn nhất, bao gồm npm, PyPI và Crates.io, trực tiếp nhắm vào các nhà phát triển trong các hệ sinh thái Solana, DeFi và AI.
Bối cảnh và xu hướng tấn công
Sự cố này xảy ra trong bối cảnh tháng 4 ghi nhận kỷ lục tổn thất, khi ngành DeFi mất 635 triệu USD chưa từng có do 28 vụ hack. Mặc dù quy mô các cuộc khai thác smart contract trực tiếp giảm vào tháng 5, telemetry của SlowMist cho thấy một sự thay đổi cơ bản trong chiến thuật của những kẻ tấn công.
Các diễn viên đe dọa đã chuyển trọng tâm từ tấn công các máy chủ được bảo vệ sang việc thỏa hiệp bí mật các thiết bị cá nhân của kỹ sư.
Phần mềm độc hại TrapDoor
Phân tích của SlowMist cho thấy TrapDoor được thiết kế để thỏa hiệp hoàn toàn các trạm làm việc của nhà phát triển. Phần mềm độc hại này:
- Đánh cắp ví crypto
- Đánh cắp các token đám mây như thông tin đăng nhập AWS và GitHub
- Đánh cắp các khóa truy cập
- Gửi chúng đến các địa chỉ được kiểm soát bởi những kẻ tấn công
Về mặt khái niệm, sơ đồ này lặp lại logic của worm npm nổi tiếng “Mini Shai-Hulud”.
Cơ chế ẩn giấu và lan truyền
Để duy trì sự tồn tại bí mật trong hệ thống, payload ghi chính nó trực tiếp vào các tệp cấu hình trợ lý AI như .cursorrules và CLAUDE.md, đồng thời ẩn bên trong Git hooks và các tập lệnh tự động hóa. Trong các kho lưu trữ, phần mềm được ngụy trang thành các plugin AI và tiện ích xây dựng cho Sui và Move.
Tình hình trở nên tồi tệ hơn do xu hướng “vibe coding”, nơi các kỹ sư lắp ráp các dự án thông qua các lời nhắc và kết nối mù quáng hàng chục thư viện lồng nhau. Kết quả là, các tác nhân AI tự động tải xuống mã độc hại lên các máy nơi các trình chỉnh sửa thông minh có quyền truy cập trực tiếp vào các tệp cấu hình cục bộ.
Khuyến cáo và biện pháp khắc phục
Do tính chất quan trọng của mối đe dọa này, SlowMist hướng dẫn các nhóm phát triển ngay lập tức thực hiện các biện pháp sau:
Loại bỏ các gói bị ảnh hưởng, cách ly các hệ thống bị nhiễm, bảo tồn nhật ký và khởi động giao thức khắc phục ba giai đoạn.
