Bên trong cuộc tấn công chuỗi cung ứng Mini Shai‑Hulud nhằm vào hệ sinh thái npm

Các thư viện bị ảnh hưởng bao gồm:

• size-sensor
• echarts-for-react
• timeago.js
• hàng trăm gói @antv/* thuộc hệ sinh thái AntV (công cụ trực quan hóa dữ liệu do Alibaba phát triển)

Một số gói trong danh sách là dependency của các framework frontend phổ biến. Ví dụ echarts-for-react có hơn một triệu lượt tải mỗi tuần, vì vậy chỉ một bản cập nhật độc hại cũng có thể ảnh hưởng đến lượng lớn dự án phía sau.

Cách mã độc được kích hoạt khi cài gói

Các phiên bản độc hại chứa payload JavaScript được obfuscate (làm rối mã) để khó phân tích. Payload này chạy tự động trong quá trình cài đặt.

Tin tặc lợi dụng hook cài đặt như preinstall, tức là script sẽ chạy ngay khi dependency được cài đặt. Điều này có nghĩa là chỉ cần chạy

npm install

Ngoài ra, các nhà nghiên cứu còn phát hiện kỹ thuật thứ hai: sử dụng optionalDependencies trỏ tới commit trên GitHub. npm có thể tải nội dung từ repository dựa trên commit SHA, vì vậy kẻ tấn công có thể tham chiếu tới các object Git trong fork có cùng lịch sử với repo gốc — ngay cả khi không có quyền ghi vào dự án upstream.

Mục tiêu chính: đánh cắp thông tin xác thực

Payload độc hại tập trung vào thu thập credential để phục vụ các cuộc tấn công tiếp theo.

Sau khi chạy, mã độc quét môi trường phát triển và hệ thống để tìm:

• token xuất bản npm
• GitHub personal access token
• khóa truy cập AWS, Azure và Google Cloud
• chuỗi kết nối database
• token Slack và API key
• khóa SSH và file xác thực Docker
• token Kubernetes và HashiCorp Vault

Mã độc còn cố gắng trích xuất dữ liệu từ các trình quản lý mật khẩu cục bộ như 1Password, Bitwarden, pass và gopass.

Dữ liệu đánh cắp được gửi ra ngoài bằng hai cách: commit dữ liệu vào các object Git trên repository GitHub công khai và gửi request HTTPS mã hóa được ngụy trang giống lưu lượng telemetry.

Chiến lược lây lan giống “sâu” máy tính

Các chuyên gia an ninh mô tả Mini Shai‑Hulud có khả năng tự lan truyền (self‑propagating).

Sau khi đánh cắp credential, malware tìm cách dùng chúng để mở rộng tấn công. Ví dụ, trong môi trường CI/CD, nó có thể tìm thêm token phát hành hoặc chỉnh sửa workflow tự động để kẻ tấn công có thể phát hành thêm các gói npm độc hại.

Điều này biến chính các máy phát triển hoặc pipeline bị nhiễm thành điểm phát tán cho các cuộc tấn công chuỗi cung ứng mới.

Đợt tấn công trước đó: thư viện TanStack bị xâm phạm

Trước sự kiện ngày 19/5, một đợt tấn công khác của Mini Shai‑Hulud đã xuất hiện vào đầu tháng 5/2026 và nhắm vào hệ sinh thái TanStack, bộ thư viện frontend được sử dụng rộng rãi.

Các bản phát hành bị nhiễm chứa mã độc nhằm đánh cắp secret trong môi trường CI/CD và credential của lập trình viên, từ đó mở rộng tấn công sang các repository khác.

Phân tích bảo mật cho thấy malware được nhúng trong bundle JavaScript đã bị làm rối, có khả năng phân tích môi trường runtime trước khi bắt đầu thu thập thông tin xác thực.

Ảnh hưởng thực tế: thiết bị của nhân viên OpenAI

Vụ tấn công TanStack không chỉ ảnh hưởng đến dự án mã nguồn mở.

OpenAI sau đó xác nhận hai thiết bị của nhân viên đã bị ảnh hưởng thông qua chuỗi dependency độc hại. Công ty quan sát thấy hoạt động phù hợp với hành vi của malware, bao gồm truy cập trái phép và cố gắng thu thập credential từ các repository nội bộ mà nhân viên đó có quyền truy cập.

Tuy nhiên, OpenAI cho biết:

• không có dữ liệu người dùng bị truy cập
• hệ thống production không bị xâm nhập
• tài sản trí tuệ và phần mềm triển khai không bị ảnh hưởng

Công ty đã cô lập các hệ thống bị ảnh hưởng, thu hồi phiên đăng nhập, xoay vòng credential, hạn chế workflow triển khai và thay đổi chứng chỉ ký mã như biện pháp phòng ngừa.

Vì sao vụ tấn công này đáng lo ngại

Mini Shai‑Hulud cho thấy xu hướng mới của các cuộc tấn công: nhắm vào hệ sinh thái lập trình viên thay vì người dùng cuối.

Những điểm khiến chiến dịch này đặc biệt nguy hiểm:

• tin tặc chiếm quyền maintainer đáng tin cậy thay vì phát hành gói mới
• quy trình tự động giúp tung ra hàng trăm bản độc hại chỉ trong vài phút
• mục tiêu chính là đánh cắp credential để tiếp tục lan rộng

Vì phần lớn hạ tầng phần mềm hiện đại phụ thuộc vào thư viện mã nguồn mở, chỉ một sự cố ngắn với gói phổ biến cũng có thể ảnh hưởng đến hàng nghìn dự án phía sau.

Sự kiện này nhấn mạnh một thực tế: bảo mật phần mềm ngày nay không chỉ là bảo vệ ứng dụng cuối cùng, mà còn phải bảo vệ toàn bộ chuỗi công cụ, maintainer và pipeline tự động tạo ra phần mềm đó.