Sâu Miasma tấn công Microsoft GitHub: Mã độc tự nhân bản 'hạ gục' 73 kho lưu trữ trong 105 giây

Nguồn gốc: Vụ xâm phạm gói npm của Red Hat

Sự cố trên GitHub của Microsoft là hồi cuối cùng của một chiến dịch bắt đầu từ vài ngày trước đó trong chuỗi cung ứng phần mềm mã nguồn mở.

Vào ngày 1 tháng 6 năm 2026, những kẻ tấn công đã sử dụng tài khoản GitHub bị đánh cắp của một nhân viên Red Hat để phát hành các phiên bản có cửa hậu của 32 gói npm chính thức thuộc phạm vi @redhat-cloud-services, trải dài trên hơn 90 phiên bản . Bộ phận Tình báo Mối đe dọa của Microsoft đã lần ra nguồn gốc của sự xâm phạm từ quy trình CI/CD (Tích hợp Liên tục và Phân phối Liên tục) RedHatInsights/javascript-clients, cho phép kẻ tấn công phát hành các gói có chứa trojan với chữ ký xác thực nguồn gốc trông hợp pháp . Các gói độc hại này mang theo một tập lệnh preinstall đã bị làm xáo trộn, thực thi công cụ đánh cắp thông tin xác thực ngay khi cài đặt, đặt nền móng cho sự lây lan rộng hơn của Miasma .

Ứng phó và ngăn chặn

Phản ứng trước cuộc tấn công rất nhanh chóng và dứt khoát, nhưng những hệ lụy của sự cố thì sâu rộng.

• Vô hiệu hóa ngay lập tức: Hệ thống phát hiện lạm dụng tự động của GitHub đã vô hiệu hóa toàn bộ 73 kho lưu trữ bị nhiễm trong hai đợt riêng biệt, ngay lập tức chặn quyền truy cập công khai và hiển thị thông báo "vi phạm điều khoản dịch vụ" .
• Khôi phục và khắc phục: Microsoft đã khôi phục hoàn toàn tất cả các kho lưu trữ bị ảnh hưởng trước ngày 8 tháng 6 và thông báo cho những khách hàng bị tác động . Một phát hiện quan trọng là kẻ tấn công đã tái sử dụng các bí mật GitHub Actions chưa được thay đổi để duy trì và mở rộng quyền truy cập, cho thấy một cuộc xâm phạm trước đó đã không được làm sạch hoàn toàn .
• Gốc rễ sâu xa hơn: Các cuộc điều tra cho thấy thông tin xác thực bị đánh cắp được sử dụng trong vụ tấn công ngày 5 tháng 6 đã nằm trong các nhật ký đánh cắp đang hoạt động suốt 48 ngày trước khi bị vũ khí hóa, nhấn mạnh một vụ xâm nhập dài hạn có trước khi sâu được kích hoạt .

Quy kết trách nhiệm: Di sản Shai-Hulud và vấn nạn sao chép

Miasma là hậu duệ trực tiếp của bộ khung sâu Mini Shai-Hulud, một bộ công cụ được tạo ra bởi nhóm đe dọa có tên là TeamPCP . Chiến dịch trước đó của TeamPCP, được tiết lộ vào ngày 12 tháng 5 năm 2026, đã xâm phạm hơn 170 gói npm và PyPI, với tổng số lượt tải về lên tới hơn 518 triệu, nhắm trực tiếp vào các thư viện dành cho lập trình viên AI .

Tình hình càng trở nên phức tạp hơn khi TeamPCP đã công khai mã nguồn của bộ khung Mini Shai-Hulud . Điều này có nghĩa là một số lượng không xác định các tác nhân sao chép có quyền truy cập vào cùng một cơ sở mã nguồn. Mặc dù kỹ thuật và mã nguồn liên kết mạnh mẽ Miasma với dòng dõi của TeamPCP, nhiều nhà nghiên cứu bảo mật thận trọng rằng không thể quy kết hoàn toàn trách nhiệm cho nhóm ban đầu, vì bất kỳ tác nhân nào có bộ công cụ mã nguồn mở này đều có thể đã dàn dựng một phần hoặc toàn bộ làn sóng tấn công cụ thể này .

Khuyến nghị bảo mật cho lập trình viên

Vụ tấn công Miasma đã định nghĩa lại một cách cơ bản các ranh giới an ninh. Việc mở một kho lưu trữ mã nguồn không còn là một hành động thụ động và an toàn nữa. Các nhà nghiên cứu đã thống nhất đưa ra một số khuyến nghị chính:

• Thu hồi và thay đổi mọi thứ: Ngay lập tức thay đổi tất cả mã thông báo GitHub Actions, thông tin xác thực của nhà cung cấp đám mây, mã thông báo phát hành npm và bất kỳ bí mật nào khác có thể đã bị lộ qua nhật ký CI/CD, kho lưu trữ bị nhiễm hoặc nhật ký đánh cắp .
• Thực thi xác thực đa yếu tố (MFA) nghiêm ngặt: Yêu cầu xác thực đa yếu tố, tốt nhất là sử dụng khóa bảo mật phần cứng, cho tất cả các tài khoản cộng tác viên để ngăn chặn các vụ xâm nhập dựa trên thông tin xác thực .
• Làm sạch ranh giới tin cậy của công cụ AI: Hãy đối xử với các kho lưu trữ không đáng tin cậy như với một tệp nhị phân không rõ nguồn gốc. Định cấu hình các tác nhân lập trình AI (Claude Code, Cursor, Gemini CLI, VS Code) để không tự động thực thi hoặc tự động đọc các tệp cấu hình và tác vụ từ kho lưu trữ .
• Tăng cường bảo mật cho quy trình CI/CD: Kiểm tra các luồng công việc GitHub Actions để hạn chế quyền ghi trên mã thông báo Actions, loại bỏ các mã thông báo không sử dụng và thực thi việc sử dụng thông tin xác thực có thời hạn ngắn .
• Tăng cường vệ sinh chuỗi cung ứng: Sử dụng các công cụ quét phụ thuộc, tạo SBOM (Bảng kê vật liệu phần mềm) và xác minh nguồn gốc gói trước khi cài đặt. Theo dõi các gói để phát hiện các tập lệnh preinstall hoặc postinstall bị làm xáo trộn .