Bên trong cuộc tấn công chuỗi cung ứng TanStack và sâu Mini Shai‑Hulud

Phân tích bảo mật cho thấy các gói này chứa mã độc đánh cắp credential, nhắm vào máy của lập trình viên và các hệ thống CI/CD.

Do nhiều thư viện TanStack có hàng triệu lượt tải mỗi tuần, các bản phát hành bị nhiễm có nguy cơ lan rộng nhanh chóng vào môi trường phát triển và pipeline build của nhiều tổ chức.

Sau khi điều tra rộng hơn, các nhà nghiên cứu nhận ra TanStack chỉ là một phần của chiến dịch lớn hơn:

• 172 gói phần mềm bị xâm nhập
• Hơn 400 phiên bản độc hại
• Hoạt động trên cả npm và PyPI

Phần lớn các bản phát hành này xuất hiện trong khoảng 48 giờ từ ngày 11–12/5/2026.

Kẻ tấn công khai thác GitHub Actions như thế nào

Thay vì tấn công trực tiếp tài khoản npm của maintainer, nhóm tấn công nhắm vào pipeline tự động phát hành phần mềm.

Theo phân tích hậu sự cố của TanStack, cuộc tấn công kết hợp nhiều điểm yếu trong workflow GitHub Actions:

• lạm dụng pattern workflow pull_request_target
• đầu độc cache giữa repository fork và repository gốc
• trích xuất token OIDC từ bộ nhớ của runner GitHub Actions

Chuỗi khai thác này cho phép mã do kẻ tấn công kiểm soát chạy bên trong pipeline phát hành và lấy credential có quyền xuất bản package. Sau đó các phiên bản độc hại được phát hành bằng danh tính phát hành hợp lệ của dự án.

Do pipeline chính thức thực hiện việc phát hành, các gói độc hại có thể:

• mang chữ ký hợp lệ
• có provenance build hợp pháp
• trông giống hệt các bản cập nhật bình thường

Điều này khiến việc phát hiện trở nên khó khăn hơn.

Sâu Mini Shai‑Hulud lan truyền ra sao

Các gói bị chỉnh sửa chứa mã hoạt động giống một sâu (worm) chuỗi cung ứng.

Khi được cài đặt, package có thể thực thi script trong quá trình cài dependency hoặc khi được import. Các script này tải thêm payload độc hại từ bên ngoài.

Sau khi chạy, mã độc sẽ:

• thu thập credential và secret
• truy cập môi trường CI/CD
• dùng token đánh cắp để phát hành thêm package bị nhiễm

Cách tiếp cận này cho phép cuộc tấn công di chuyển ngang giữa máy lập trình viên, hệ thống build và các dự án mã nguồn mở khác.

Vì các trình quản lý package thường cho phép chạy script khi cài đặt, chỉ cần cài một dependency bị nhiễm cũng có thể kích hoạt mã độc.

Những loại credential bị nhắm tới

Mục tiêu chính của chiến dịch là thông tin xác thực của lập trình viên và hạ tầng cloud, vì chúng có thể dẫn tới các xâm nhập sâu hơn.

Theo báo cáo bảo mật, mã độc tìm kiếm nhiều loại secret như:

• AWS IAM credentials
• GitHub Personal Access Token
• npm publish token
• HashiCorp Vault token
• Kubernetes service account
• khóa SSH riêng
• cấu hình Docker và biến môi trường

Mã độc cũng quét nhiều đường dẫn trên máy phát triển và runner CI để tìm file cấu hình hoặc secret lưu trữ.

Vì vậy, bất kỳ hệ thống nào cài đặt phiên bản package bị ảnh hưởng đều được coi là có nguy cơ bị lộ credential và cần xoay vòng khóa ngay lập tức.

OpenAI nói gì về nguy cơ lộ dữ liệu

Một số thư viện bị ảnh hưởng được sử dụng rộng rãi trong nhiều hệ thống phần mềm, vì vậy đã xuất hiện lo ngại về ảnh hưởng lan rộng tới các dịch vụ công nghệ.

OpenAI cho biết họ không tìm thấy bằng chứng nào cho thấy dữ liệu người dùng bị truy cập hoặc bị rò rỉ do sự cố chuỗi cung ứng liên quan đến các thư viện TanStack.

Tuyên bố này nhằm làm rõ các suy đoán rằng những dịch vụ phụ thuộc vào các package bị ảnh hưởng có thể đã làm lộ dữ liệu khách hàng.

Vì sao cuộc tấn công này đặc biệt đáng chú ý

Chiến dịch Mini Shai‑Hulud cho thấy một số xu hướng mới trong các cuộc tấn công chuỗi cung ứng.

1. Tấn công vào automation thay vì tài khoản
Thay vì đánh cắp tài khoản maintainer, kẻ tấn công chiếm quyền pipeline phát hành.

2. Package độc hại nhưng vẫn có chữ ký hợp lệ
Do pipeline hợp pháp thực hiện phát hành, các gói độc hại vẫn mang provenance đáng tin cậy.

3. Phạm vi đa hệ sinh thái
Chiến dịch đồng thời tấn công npm và PyPI, mở rộng phạm vi ảnh hưởng đáng kể.

4. Cơ chế lan truyền giống sâu máy tính
Mã độc cố gắng tự lan truyền bằng cách đánh cắp token và phát hành thêm package bị nhiễm.

Những yếu tố này khiến sự cố trở thành một trong các vụ tấn công chuỗi cung ứng mã nguồn mở lớn nhất năm 2026.

Bài học bảo mật cho các nhóm phát triển

Sau sự cố, cộng đồng bảo mật nhấn mạnh một số nguyên tắc quan trọng:

Xem việc cài dependency như chạy mã
Cài package có thể thực thi script hoặc code ngay lập tức.

Xoay vòng credential sau khi có nguy cơ bị lộ
Mọi secret có thể truy cập từ môi trường bị ảnh hưởng nên được thay đổi.

Gia cố workflow CI/CD
Kiểm tra cấu hình GitHub Actions, giới hạn quyền token và tránh pattern workflow rủi ro như pull_request_target nếu không cần thiết.

Kiểm tra lịch sử dependency
Xác minh rằng không có phiên bản package bị nhiễm được cài trong khoảng thời gian xảy ra sự cố.

Giám sát pipeline build và phát hành
Các hoạt động bất thường như cài dependency lạ, truy cập mạng bất thường hoặc phát hành package trái phép có thể là dấu hiệu bị xâm nhập.

Bài học lớn cho hệ sinh thái mã nguồn mở

Chuỗi cung ứng phần mềm hiện đại phụ thuộc vào automation và dependency dùng chung. Mini Shai‑Hulud cho thấy khi những hệ thống này bị chiếm quyền, chúng có thể trở thành công cụ phát tán mã độc cực kỳ hiệu quả.

Bằng cách nhắm vào pipeline build và môi trường phát triển, kẻ tấn công có thể phân phối mã độc thông qua kênh đáng tin cậy và lan tới hàng nghìn dự án chỉ trong vài giờ.

Vì vậy, nhiều tổ chức hiện coi CI/CD, quản lý dependency và môi trường developer là ranh giới bảo mật quan trọng, thay vì chỉ là công cụ tiện lợi trong quy trình phát triển.