Tấn Công Chuỗi Cung Ứng Miasma: Từ Bộ Công Cụ Mã Nguồn Mở của TeamPCP Đến Các Kho Lưu Trữ Bị Xâm Nhập của Microsoft và Red Hat

Những commit này không hề đơn giản. Bên trong kho lưu trữ RedHatInsights/javascript-clients, kẻ tấn công đã chèn một quy trình làm việc GitHub Actions độc hại yêu cầu mã thông báo định danh OIDC và thực thi một payload bị làm rối . Payload này đã xuất bản 32 bản phát hành gói bị nhiễm trojan trong phạm vi npm chính thức @redhat-cloud-services, mỗi gói mang một dấu hiệu chiến dịch là “Miasma: The Spreading Blight” (Miasma: Sự Tàn Lụa Lan Rộng) . Vì các gói này được phân phối qua pipeline CI/CD hợp pháp của Red Hat và sử dụng các quy trình xuất bản OIDC hợp lệ, chúng mang chữ ký xác thực nguồn gốc SLSA thực sự — nghĩa là các kiểm tra bảo mật tiêu chuẩn sẽ gắn cờ chúng là đã được xác minh .

Các gói độc hại này có trung bình khoảng 80.000 lượt tải xuống hàng tuần . Ngay khi bất kỳ nhà phát triển nào chạy lệnh

npm install

Hành vi mới lạ nhất của con sâu không chỉ là đánh cắp thông tin xác thực — mà là việc nó khai thác các công cụ lập trình AI. Các biến thể của Miasma đã cài các tệp quy tắc độc hại nhắm vào Claude Code, Cursor, Gemini CLI và GitHub Copilot. Những tệp này được thiết kế để tự động thực thi khi một nhà phát triển chỉ đơn giản là sao chép (clone) và mở kho lưu trữ bị xâm nhập trong IDE của họ . Về bản chất, hành động đọc mã — mà không cần cài đặt bất kỳ gói nào — có thể kích hoạt payload.

Vào ngày 5 tháng 6 năm 2026, con sâu đã đến được Microsoft. Một commit độc hại có tiêu đề “Switched DataConverter to OrchestrationContext [skip ci]” đã xuất hiện trong kho lưu trữ Azure/durabletask, với siêu dữ liệu bị thao túng để hiển thị ngày commit là ngày 9 tháng 3 năm 2020, có khả năng nhằm tránh bị nghi ngờ . Commit đó là bàn đạp. Từ đó, con sâu lây lan sang 73 kho lưu trữ trên bốn tổ chức GitHub của Microsoft: Azure, Azure-Samples, Microsoft và MicrosoftDocs . Các dự án bị ảnh hưởng bao gồm cơ sở hạ tầng cốt lõi như azure-functions-host và toàn bộ dòng sản phẩm Durable Task trên .NET, Go, Java, JavaScript, MSSQL và Python .

Nguồn Gốc: TeamPCP và Việc Mã Nguồn Mở Hóa Mini Shai-Hulud

Để hiểu Miasma, bạn phải hiểu quyết định mã nguồn mở hóa vũ khí của TeamPCP.

TeamPCP (còn được theo dõi với các tên Replicating Marauder, TGR-CRI-1135 và UNC6780) là một nhóm tin tặc đã dành cả năm 2025 và đầu năm 2026 để hoàn thiện một dòng sâu chuỗi cung ứng tự nhân bản. Các hoạt động của chúng đạt đỉnh điểm vào ngày 11 tháng 5 năm 2026, khi chúng xuất bản 373 phiên bản gói độc hại trên 172 gói npm và PyPI, với tổng số lượt tải xuống vượt quá 518 triệu . Chỉ riêng chiến dịch đó đã chứng minh khả năng của con sâu trong việc trích xuất mã thông báo OIDC từ bộ nhớ của runner GitHub Actions, lấy chứng chỉ ký hợp lệ và tạo ra các gói độc hại với các chứng thực nguồn gốc hợp lệ .

Sau đó, vào ngày 12 tháng 5 năm 2026, TeamPCP đã công bố toàn bộ mã nguồn Mini Shai-Hulud lên GitHub theo giấy phép MIT . Cùng với đó, nhóm này tuyên bố một cuộc thi trên diễn đàn BreachForums, treo giải thưởng 1.000 USD bằng tiền Monero cho cuộc tấn công chuỗi cung ứng lớn nhất được thực hiện bằng framework của họ . Thông điệp rất rõ ràng: bộ công cụ này giờ đây là tài sản công cộng.

Trong vòng năm ngày, một tài khoản người dùng npm duy nhất đã đẩy bốn gói độc hại bao gồm một bản sao gần như nguyên văn của con sâu Shai-Hulud. OX Security đã phân tích bản sao và nhận thấy nó được sao chép "hầu như không có bất kỳ thay đổi nào", chỉ khác ở điểm cuối điều khiển và ra lệnh (C2) và khóa riêng của kẻ tấn công . Sự công nghiệp hóa của các cuộc tấn công chuỗi cung ứng đã bắt đầu — và những người phòng thủ vẫn chưa hề hay biết.

Mười bảy ngày sau khi mã nguồn mở được công bố, Miasma đã tấn công Red Hat. Mã của malware này là một biến thể cấu trúc của Mini Shai-Hulud, với các tham chiếu theo chủ đề Dune ban đầu được thay thế bằng chủ đề thần thoại Hy Lạp . Nhưng thủ đoạn — thực thi script preinstall, payload JavaScript bị làm rối, thu thập thông tin xác thực và tự nhân bản qua CI/CD — về cơ bản là giống hệt nhau .

Điều quan trọng là, các nhà nghiên cứu không thể quy kết Miasma một cách chắc chắn cho chính TeamPCP. Liên minh An ninh Đám mây (Cloud Security Alliance) lưu ý rõ ràng rằng "không thể loại trừ các tác nhân sao chép sử dụng cùng một cơ sở mã được phát hành công khai" . Unit 42 của Palo Alto Networks củng cố điều này, tuyên bố rằng "việc quy kết trách nhiệm vẫn chưa chắc chắn" vì việc phát hành công khai mã nguồn có nghĩa là bất kỳ tác nhân có năng lực nào cũng có thể tái tạo cuộc tấn công tương tự . Sự mơ hồ này không phải là một chú thích nhỏ — đó là một tính năng có chủ đích của chiến lược mã nguồn mở hóa, được thiết kế để gây nhiễu loạn hệ sinh thái và áp đảo các nỗ lực quy kết .

Làn Sóng Sao Chép: Phantom Gyp và Sự Mở Rộng Hệ Sinh Thái

Framework mã nguồn mở không chỉ kích hoạt Miasma — nó còn sinh ra một làn sóng hoạt động sao chép ngay lập tức.

Vào ngày 3 tháng 6 năm 2026, một biến thể mới có tên Phantom Gyp đã xuất hiện, lan tới 57 gói npm khác bao gồm @vapi-ai/server-sdk và ai-sdk-ollama . Biến thể này sử dụng một tệp binding.gyp đã bị vũ khí hóa để thực thi mã độc trong quá trình cài đặt gói, vượt qua đường dẫn thực thi postinstall hiện đang bị giám sát chặt chẽ . Các nhà nghiên cứu tại OpenSourceMalware xác nhận chiến dịch này là lần đầu tiên sử dụng framework của TeamPCP trong thực tế, mặc dù TeamPCP chưa bao giờ nhận trách nhiệm .

Đến ngày 8 tháng 6, Trung tâm Bão Internet SANS (SANS Internet Storm Center) báo cáo rằng cộng đồng tin tặc rộng lớn hơn hiện đang tích cực sử dụng framework Mini Shai-Hulud mã nguồn mở, với nhiều tác nhân đe dọa độc lập khởi động các chiến dịch của riêng họ . Malware đã lan ra ngoài npm: các nhà nghiên cứu xác định một biến thể Ruby dường như được dịch bằng mô hình ngôn ngữ lớn (LLM) — một bản port thô sơ nhưng có thể hoạt động, không nằm trong mã nguồn mở ban đầu . Tốc độ thích ứng, từ npm sang nhiều hệ sinh thái khác, nhấn mạnh mức độ thay đổi triệt để của bề mặt tấn công.

Phản Ứng của Các Tổ Chức: Tốc Độ, Sự Gián Đoạn và Chính Sách

Phản ứng với Miasma diễn ra nhanh chóng và công khai một cách bất thường, phản ánh cả quy mô của sự xâm nhập lẫn sự tham gia của các chủ sở hữu nền tảng lớn.

Phản ứng của GitHub là ngay lập tức. Nền tảng này đã vô hiệu hóa hơn 70 kho lưu trữ thuộc sở hữu của Microsoft trong khoảng 105 phút sau khi phát hiện vào ngày 5 tháng 6 năm 2026 . Các kho lưu trữ bị vô hiệu hóa trải dài trên các tổ chức Azure, Azure-Samples, Microsoft và MicrosoftDocs . Trong vòng vài ngày, tất cả các kho lưu trữ đã được khôi phục và tuyên bố là sạch, mặc dù một số pipeline CI/CD của Microsoft bị ảnh hưởng đã bị gián đoạn trong quá trình gỡ bỏ .

Microsoft đã công bố một phân tích kỹ thuật chi tiết thông qua nhóm Threat Intelligence của mình vào ngày 2 tháng 6 năm 2026, bao quát toàn bộ chuỗi tấn công từ sự xâm nhập Red Hat ban đầu cho đến việc khai thác CI/CD . Microsoft cũng thực hiện một bước đi cực kỳ bất thường là gỡ bỏ 73 kho lưu trữ của chính mình, nói với BleepingComputer rằng quyết định này được đưa ra vì lo ngại các kho lưu trữ này đang phân phối "nội dung độc hại tiềm tàng" . Sự gián đoạn đối với quy trình làm việc CI/CD nội bộ của Microsoft cho thấy ngay cả chủ sở hữu nền tảng cũng không tránh khỏi những hậu quả dây chuyền từ một con sâu chuỗi cung ứng.

Red Hat đã công bố tư vấn bảo mật RHSB-2026-006 vào ngày 1 tháng 6 năm 2026, xác nhận sự xâm nhập và tuyên bố rằng vi phạm chỉ giới hạn ở các công cụ phát triển nội bộ, không ảnh hưởng đến các sản phẩm Red Hat Enterprise Linux hoặc OpenShift . Công ty đã thu hồi tất cả các phiên bản gói npm bị ảnh hưởng và cảnh báo những người tiêu dùng hạ nguồn.

Trung tâm An ninh Mạng Quốc gia Anh (NCSC) đã leo thang sự cố thành một nỗ lực chính sách rộng lớn hơn. Vào ngày 4 tháng 6 năm 2026, NCSC đã công bố một bài đăng trên blog kêu gọi các tổ chức rà soát các phụ thuộc mã nguồn mở của họ và giảm thiểu rủi ro trước các cuộc tấn công chuỗi cung ứng . Thời điểm không phải là ngẫu nhiên — bài đăng trực tiếp tham chiếu chiến dịch Miasma như một chất xúc tác . Vào ngày 9 tháng 6 năm 2026, NCSC đã phát hành Sổ tay Chuỗi Cung ứng Cyber Essentials cập nhật, kêu gọi các công ty Anh đưa chứng nhận Cyber Essentials trở thành yêu cầu tiêu chuẩn cho các nhà cung cấp .

Hướng dẫn của NCSC tập trung vào ba hạng mục: khả năng hiển thị (kiểm tra các bản cập nhật gói, xác định các phụ thuộc không mong muốn và duy trì hóa đơn vật liệu phần mềm - SBOM), đánh giá (thẩm định các thực hành bảo mật của nhà cung cấp) và hành động (đảm bảo an ninh chuỗi cung ứng là ưu tiên hàng đầu ở cấp hội đồng quản trị) . Chính phủ Anh cũng đã chính thức vào cuộc với chiến dịch TeamPCP, phản ánh sự thay đổi khi an ninh phụ thuộc mã nguồn mở hiện được coi là vấn đề chính sách an ninh mạng quốc gia chứ không chỉ là vệ sinh của từng nhà phát triển riêng lẻ.

Tại Sao Miasma Quan Trọng: Những Hàm Ý Rộng Hơn

Cuộc tấn công Miasma không phải là vụ vi phạm chuỗi cung ứng lớn nhất trong lịch sử, cũng không phải là tinh vi nhất. Nhưng nó có thể mang tính hướng dẫn cao nhất để hiểu điều gì sẽ xảy ra tiếp theo.

Thứ nhất, các framework tấn công mã nguồn mở đã vũ khí hóa hệ sinh thái. Quyết định công bố Mini Shai-Hulud theo giấy phép MIT của TeamPCP là một chiến lược có chủ đích: trang bị vũ khí cho một đội quân sao chép, tạo ra sự hỗn loạn trong việc quy kết trách nhiệm và buộc những người phòng thủ phải chống lại một số lượng không xác định các tác nhân độc lập sử dụng cùng một kịch bản . Đây không phải là lý thuyết — hoạt động sao chép đã được ghi nhận trong vòng năm ngày sau khi phát hành, và việc quy kết Miasma vẫn chưa chắc chắn nhiều tuần sau đó .

Thứ hai, hook preinstall của npm là một lỗ hổng hệ thống. Cuộc tấn công liên tục khai thác một tính năng được thiết kế cho các tập lệnh xây dựng hợp pháp nhưng lại thiếu các biện pháp kiểm soát đầy đủ về việc thực thi tập lệnh vòng đời . Sự xuất hiện của binding.gyp như một vectơ thực thi bổ sung trong biến thể Phantom Gyp cho thấy những kẻ tấn công đang tích cực tìm kiếm các vòng đời mới để chiếm quyền điều khiển . Các hạn chế ở cấp độ registry đối với preinstall và các tập lệnh vòng đời khác hiện là một ưu tiên cấp bách.

Thứ ba, các trợ lý lập trình AI đã trở thành một bề mặt thực thi. Miasma là một trong những cuộc tấn công chuỗi cung ứng đầu tiên được ghi nhận nhắm mục tiêu cụ thể vào Claude Code, Cursor, Copilot và Gemini CLI như các cơ chế phân phối payload thông qua các tệp quy tắc độc hại . Khi một nhà phát triển sao chép một kho lưu trữ và mở nó, công cụ AI được thiết kế để giúp họ viết mã tốt hơn thay vào đó có thể thực thi mã độc. Vectơ này có thể sẽ mở rộng khi phát triển có sự hỗ trợ của AI trở thành quy trình làm việc mặc định.

Thứ tư, các pipeline CI/CD hiện là mục tiêu có giá trị cao nhất. Khả năng trích xuất mã thông báo OIDC từ bộ nhớ runner và tạo ra các gói có chứng thực nguồn gốc SLSA hợp lệ của con sâu có nghĩa là xác minh mật mã tiêu chuẩn — tiêu chuẩn vàng cho tính toàn vẹn của chuỗi cung ứng — có thể bị đánh bại . Nếu các kiểm tra nguồn gốc vượt qua, các nhà phòng thủ không có tín hiệu nào để gắn cờ sự xâm nhập. Việc bảo mật các pipeline CI/CD khỏi bị lộ thông tin xác thực không còn là tùy chọn.

Cuối cùng, sự can thiệp của chính phủ đã đến với quản lý phụ thuộc mã nguồn mở. Sổ tay cập nhật của NCSC không phải là tư vấn — đó là một yêu cầu cụ thể để các công ty Anh nhúng an ninh chuỗi cung ứng vào quy trình mua sắm . Các tổ chức coi việc xem xét phụ thuộc là một cuộc kiểm tra một lần, thay vì một quy trình liên tục, đang hoạt động với tư duy an ninh từ thời kỳ trước Miasma.