TeamPCP công khai mã nguồn sâu chuỗi cung ứng Shai‑Hulud trên GitHub

Khác với các vụ xâm nhập dependency thông thường, mã độc hoạt động như một sâu tự lan truyền, có thể lây sang các gói khác khi nhà phát triển cài đặt hoặc phát hành phần mềm từ môi trường đã bị nhiễm.

Sau đó không lâu, TeamPCP được cho là đã đăng toàn bộ mã nguồn sâu lên GitHub trong hai repository, cho phép bất kỳ ai fork, chỉnh sửa và sử dụng lại gần như không hạn chế theo giấy phép MIT. Các repo này nhanh chóng có hàng chục fork chỉ trong vài giờ.

Vì sao giấy phép MIT khiến vụ việc đáng chú ý

Việc phát hành mã độc tấn công dưới giấy phép mã nguồn mở cho phép tái sử dụng tự do là điều khá hiếm.

Đối với các đội phòng thủ, mã nguồn giúp:

• Xây dựng chữ ký phát hiện chính xác hơn (YARA, Sigma, EDR)
• Mô phỏng hành vi của sâu trong sandbox
• Kiểm tra xem hệ thống giám sát CI/CD có phát hiện được chuỗi tấn công hay không

Nhưng với kẻ tấn công, điều này cũng:

• Giảm đáng kể công sức phát triển công cụ
• Cho phép fork và chỉnh sửa để né tránh phát hiện
• Dễ dàng mở rộng sang hệ sinh thái package hoặc nền tảng khác

Nói cách khác, Shai‑Hulud không chỉ là một vụ tấn công đơn lẻ mà còn là một “bản thiết kế” cho tấn công chuỗi cung ứng nhắm vào quy trình phát triển phần mềm.

Các khả năng chính của sâu Shai‑Hulud

Phân tích chiến dịch cho thấy sâu này kết hợp nhiều kỹ thuật tấn công chuỗi cung ứng tiên tiến.

Đánh cắp token OIDC từ pipeline CI/CD

Một trong những kỹ thuật quan trọng nhất là trích xuất token OpenID Connect (OIDC) từ pipeline CI/CD, đặc biệt trong các workflow GitHub Actions dùng để phát hành package.

Thay vì chỉ đánh cắp credential tĩnh, kẻ tấn công chiếm quyền pipeline và lấy token tạm thời trong lúc build, sau đó sử dụng token này để phát hành gói độc hại thông qua quy trình phát hành hợp pháp.

Phát hành gói độc hại với chứng thực nguồn gốc hợp lệ

Một điểm gây lo ngại khác là các gói bị nhiễm được phát hành kèm SLSA Build Level 3 provenance attestation hợp lệ.

Điều này khiến nhiều hệ thống kiểm tra tự động tin rằng package đến từ pipeline đáng tin cậy, dù bên trong đã chứa mã độc.

Thu thập thông tin xác thực từ môi trường phát triển

Sau khi cài đặt, sâu triển khai payload đánh cắp thông tin xác thực từ máy lập trình viên và môi trường CI. Dữ liệu bị nhắm tới gồm:

• Khóa AWS và credential cloud
• SSH private key
• Token npm và PyPI
• GitHub personal access token
• Secret từ Kubernetes hoặc HashiCorp Vault

Một số báo cáo cho biết malware có thể quét hơn 100 vị trí lưu credential phổ biến trên hệ thống.

Tự lan truyền qua hệ sinh thái package

Nhờ credential bị đánh cắp và quyền truy cập pipeline, sâu có thể tự động phát tán sang các package khác, tạo hiệu ứng lây lan dây chuyền trong hệ sinh thái phần mềm.

Cơ chế “dead‑man’s switch” có thể phá hủy dữ liệu

Một số phân tích cũng đề cập đến cơ chế fail‑safe mang tính phá hoại, có thể kích hoạt hành vi xóa dữ liệu nếu thỏa điều kiện nhất định.

Vì vậy, chuyên gia khuyến cáo coi các hệ thống bị nhiễm là đã bị xâm nhập hoàn toàn, không chỉ đơn thuần là cài nhầm package độc hại.

Liên hệ với các chiến dịch trước của TeamPCP

Chiến dịch tháng 5/2026 không phải hoạt động đầu tiên của nhóm này.

Theo nghiên cứu của Cloud Security Alliance, cuộc tấn công ngày 29–30/4/2026 đã nhắm vào npm, PyPI và Packagist, ảnh hưởng khoảng 1.800 repository do lộ credential và cấu hình CI/CD sai.

So với giai đoạn trước, chiến dịch Shai‑Hulud thể hiện sự tiến hóa rõ rệt:

• Các cuộc tấn công trước chủ yếu dựa vào token registry bị đánh cắp
• Chiến dịch mới chiếm quyền pipeline phát hành đáng tin cậy
• Malware có khả năng tự lan truyền như sâu giữa các ecosystem

Điều này cho thấy kẻ tấn công đang thích nghi rất nhanh với các biện pháp bảo mật chuỗi cung ứng mới.

Rủi ro ngay lập tức đối với doanh nghiệp và lập trình viên

Các tổ chức đã cài đặt gói bị ảnh hưởng trong khoảng thời gian tấn công có thể đối mặt với nhiều nguy cơ.

Khuyến nghị từ các chuyên gia cho rằng mọi môi trường từng cài các package bị nhiễm nên được coi là đã bị xâm nhập, vì sâu có khả năng đánh cắp credential và duy trì tồn tại trong hệ thống phát triển.

Một bài học quan trọng khác: chữ ký hoặc provenance hợp lệ không đảm bảo an toàn nếu chính pipeline đáng tin cậy đã bị chiếm quyền.

Các bước phản ứng khẩn cấp được khuyến nghị

Đội bảo mật nên ưu tiên các hành động sau:

• Kiểm tra toàn bộ dependency npm và PyPI được cài đặt hoặc build từ ngày 11/5/2026.
• Rebuild dự án từ môi trường sạch và lockfile đã xác minh.
• Xoay vòng toàn bộ credential của developer, CI/CD, cloud và registry.
• Kiểm tra workflow GitHub Actions hoặc CI khác để tìm thay đổi hoặc sự kiện publish bất thường.
• Giới hạn quyền publish package và áp dụng OIDC theo nguyên tắc least privilege.

Ngoài ra, các tổ chức cần theo dõi các biến thể mới, vì việc công khai mã nguồn sâu làm tăng khả năng xuất hiện các bản sửa đổi hoặc copycat trong cộng đồng mã nguồn mở.

Một bước ngoặt trong an ninh chuỗi cung ứng phần mềm

Sự cố Shai‑Hulud cho thấy xu hướng mới trong các cuộc tấn công: thay vì chỉ khai thác lỗ hổng trong dependency, kẻ tấn công đang nhắm trực tiếp vào quy trình phát triển và pipeline phát hành phần mềm.

Bằng cách công khai mã nguồn của sâu đã được dùng trong một chiến dịch quy mô lớn, TeamPCP thực chất đã biến một vụ tấn công thành tài liệu kỹ thuật để cả bên phòng thủ lẫn kẻ tấn công nghiên cứu. Cuộc chạy đua để hiểu và phòng chống mô hình này đã bắt đầu.