TechFlow đưa tin, ngày 25 tháng 6, SlowMist công bố thông tin đe dọa cho biết các biến thể phần mềm độc hại npm mới mang tên Shai-Hulud / Miasma / Hades liên quan đến tài khoản nhà phát triển npm bị xâm nhập “czirker” đang gây ảnh hưởng tới hệ sinh thái npm. Hoạt động tấn công này kích hoạt khi thực thi lệnh npm install, thông qua tệp cấu hình sẵn binding.gyp, và đã được xác nhận ảnh hưởng tới 23 gói phần mềm; trong đó gói leo-logger có lượng tải xuống hàng tuần khoảng 3.140 lần. Tính đến thời điểm thông tin được công bố, đã phát hiện 408 kho lưu trữ GitHub bị lây nhiễm do bị đánh cắp thông tin đăng nhập.
Các hành vi mà tin tặc có thể thực hiện bao gồm: đánh cắp token GitHub và npm, đánh cắp thông tin xác thực đám mây AWS/GCP/Azure, đánh cắp dữ liệu môi trường cục bộ, lạm dụng quy trình làm việc (workflow) của GitHub, cũng như tiếp tục lan rộng các cuộc tấn công chuỗi cung ứng npm. SlowMist khuyến nghị các đội an ninh ngay lập tức kiểm tra tệp khóa (lock file) và lịch sử phiên bản gói phần mềm, hạ cấp hoặc gỡ bỏ các gói phần mềm bị ảnh hưởng, đồng thời xoay lại toàn bộ khóa của npm, GitHub, dịch vụ đám mây, CI/CD và ứng dụng, đồng thời bắt buộc kích hoạt xác thực hai yếu tố (2FA).
