SlowMist: Sự cố GitHub và Grafana có thể liên quan tấn công chuỗi cung ứng lớn

SlowMist cho biết một đợt tấn công chuỗi cung ứng phần mềm Mini Shai-Hulud đã nhắm vào nhiều gói npm phổ biến, gồm AntV, Echarts-for-react và durabletask. Trong đó, tài khoản npm atool bị chiếm quyền ngày 19/5, sau đó 637 phiên bản độc hại thuộc 317 gói được phát hành trong 22 phút.

Với durabletask, kẻ tấn công tiếp tục đăng các phiên bản 1.4.1, 1.4.2 và 1.4.3 trong khoảng 35 phút từ 00:19 đến 00:54 ngày 20/5 giờ Bắc Kinh, vượt qua cơ chế phát hành thông thường và giả mạo bản phát hành chính thức của Microsoft.

SlowMist cho rằng vụ rò rỉ lớn GitHub token và vụ tấn công ransomware nhằm vào Grafana Labs có thể liên quan đến chiến dịch này. Các gói bị ảnh hưởng trải rộng trong hệ sinh thái npm, trong khi durabletask là gói Python, làm tăng phạm vi tiếp cận của đợt tấn công.

Theo cảnh báo, mã độc có thể đánh cắp thông tin xác thực cloud và hệ thống nội bộ, xâm nhập kho lưu trữ riêng tư, di chuyển sang máy của lập trình viên và chuỗi CI/CD, đồng thời khai thác hoặc bán các GitHub token bị lộ. SlowMist khuyến nghị xoay vòng toàn bộ thông tin xác thực đã lộ, thay thế gói bị ảnh hưởng, cô lập hệ thống nghi nhiễm và siết chặt quy trình rà soát phụ thuộc.