TechFlow đưa tin, ngày 12 tháng 5, hệ thống giám sát mối đe dọa MistEye thuộc cơ quan an ninh blockchain SlowMist (@SlowMist_Team) phát hiện một sâu npm mang tên “Mini Shai-Hulud” có độ phức tạp cao đang lây lan thông qua các dự án nhà phát triển nổi tiếng như TanStack, UiPath và DraftLab. Kẻ tấn công chiếm dụng thông tin đăng nhập GitHub để xuất bản các gói phần mềm độc hại giả dạng bản cập nhật hợp pháp, đồng thời nhúng tập lệnh ẩn router_init.js vào bên trong. Tập lệnh này chạy âm thầm trong các môi trường CI/CD như GitHub Actions nhằm đánh cắp khóa CI/CD, khóa hạ tầng đám mây và thông tin ví tiền điện tử, đồng thời sử dụng chính cơ sở hạ tầng của GitHub để truyền dữ liệu ra ngoài.
SlowMist đã chia sẻ thông tin tình báo về mối đe dọa này (IOC) với khách hàng. Các dự án đang sử dụng các gói phần mềm bị ảnh hưởng được khuyến nghị ngay lập tức kiểm tra xem có tồn tại tệp router_init.js trong quy trình CI/CD hay không, đổi toàn bộ thông tin xác thực GitHub, dịch vụ đám mây và tiền điện tử đã bị rò rỉ, đồng thời tiếp tục giám sát các hoạt động nền bất thường trong môi trường phát triển.
