Điều gì đã xảy ra với các gói npm của Red Hat?

Hơn 30 gói npm Dịch vụ Đám mây của Red Hat đã bị xâm phạm sau khi những kẻ tấn công chiếm đoạt tài khoản GitHub của một nhân viên Red Hat và đẩy các commit độc hại chứa một biến thể mã độc đánh cắp thông tin xác thực có tên Mini Shai‑Hulud.

Những kẻ tấn công đã xâm phạm các gói như thế nào?

Trước tiên, chúng xâm phạm tài khoản GitHub của một nhân viên Red Hat, sau đó sử dụng danh tính nhà phát triển hợp pháp đó để đẩy mã bị nhiễm trực tiếp lên kho lưu trữ, qua mặt các kiểm tra tin cậy tự động.

Mã độc Mini Shai‑Hulud là gì và nó hoạt động như thế nào?

Đây là một trình đánh cắp thông tin xác thực tự động thực thi khi cài đặt gói (`npm install`), ngay lập tức thu thập khóa truy cập đám mây, khóa SSH và tệp cấu hình Kubernetes từ hệ thống mục tiêu.

Những kẻ tấn công nhắm đến những thông tin xác thực nào?

Mã độc nhắm vào các tệp thông tin xác thực của AWS, Google Cloud Platform và Azure, cũng như khóa riêng tư SSH và tệp cấu hình Kubernetes, tất cả đều có thể cấp quyền truy cập rộng rãi vào hạ tầng sản xuất.

Tại sao các pipeline CI/CD lại đặc biệt dễ bị tổn thương trước cuộc tấn công này?

Các runner CI/CD thường lưu trữ thông tin xác thực đám mây có thời gian tồn tại dài dưới dạng biến môi trường hoặc bí mật gắn kết, vì vậy một runner nhiễm độc duy nhất có thể âm thầm làm rò rỉ các khóa kiểm soát toàn bộ môi trường đám mây.

Các Gói npm của Red Hat Bị Tấn Công: Hơn 30 Kho Phát Tán Trình Đánh Cắp Thông Tin Xác Thực Đám Mây

Một chiến dịch tấn công chuỗi cung ứng npm có chủ đích nhằm đánh cắp thông tin xác thực đám mây đã nhắm vào một trong những cái tên quen thuộc nhất trong lĩnh vực phần mềm doanh nghiệp. Những kẻ tấn công không rõ danh tính đã xâm phạm hơn 30 gói npm Dịch vụ Đám mây của Red Hat bằng cách trước tiên chiếm đoạt tài khoản GitHub của một nhân viên Red Hat, sau đó sử dụng quyền truy cập đó để đẩy các commit độc hại. Mã độc được nhúng trong các gói này, được xác định là một biến thể của dòng ‘Mini Shai-Hulud’, tự động thực thi ngay khi cài đặt và lập tức bắt đầu đánh cắp thông tin xác thực đám mây, bao gồm khóa truy cập AWS, GCP và Azure, cùng với khóa SSH và tệp cấu hình Kubernetes.

Sự việc này nổi bật không phải vì điểm yếu của chính npm, mà bởi cách thức những kẻ tấn công xâm nhập: thông qua một danh tính nhà phát triển hợp pháp và đáng tin cậy.

Các Gói npm của Red Hat Bị Xâm Phạm Như Thế Nào

Chuỗi tấn công bắt đầu từ việc xâm phạm một tài khoản GitHub duy nhất của một nhân viên Red Hat. Khi đã ở bên trong tài khoản đó, những kẻ tấn công có quyền truy cập cần thiết để đẩy mã trực tiếp lên các kho lưu trữ gắn với các gói npm Dịch vụ Đám mây của Red Hat. Bởi vì các commit đến từ một tài khoản cộng tác viên được công nhận, các pipeline tự động và người đánh giá ngang hàng gặp phải rào cản cao hơn nhiều để phát hiện điều gì đáng ngờ.

Đây chính là đặc điểm xác định của một cuộc tấn công chuỗi cung ứng phần mềm: tải trọng độc hại di chuyển bên trong phần mềm hợp pháp, được ký và phân phối qua các kênh đáng tin cậy. Các nhà phát triển đã cài đặt hoặc cập nhật bất kỳ gói nào bị ảnh hưởng trong khoảng thời gian bị xâm phạm sẽ vô tình thực thi mã độc trên chính hệ thống của họ mà không có cảnh báo rõ ràng. Bản thân các gói vẫn tiếp tục hoạt động bình thường, khiến việc phát hiện càng khó khăn hơn.

Biến thể mã độc ‘Mini Shai-Hulud’ được thiết kế đặc biệt để chạy ngay tại thời điểm cài đặt, khoảnh khắc một nhà phát triển gõ npm install. Nó không chờ ứng dụng khởi chạy hay người dùng tương tác. Cách tiếp cận này rút ngắn đáng kể thời gian từ lúc lây nhiễm đến lúc đánh cắp dữ liệu.

Những Thông Tin Xác Thực Nào Đã Bị Đánh Cắp và Tại Sao Chúng Quan Trọng

Danh sách mục tiêu của mã độc trông giống như một bản kiểm tra những thứ gây thiệt hại nhất mà kẻ tấn công có thể trích xuất từ máy trạm của nhà phát triển hoặc runner pipeline CI/CD. Các tệp thông tin xác thực của AWS, Google Cloud Platform và Azure là mục tiêu chính, vì những khóa này thường mang quyền truy cập rộng khắp hạ tầng sản xuất. Khóa riêng tư SSH và tệp cấu hình Kubernetes hoàn thiện thêm cho mẻ lưới, cung cấp cho kẻ tấn công những đường di chuyển ngang tiềm năng vào mạng nội bộ và các cụm điều phối container.

Đối với các tổ chức vận hành pipeline xây dựng tự động, rủi ro bộc lộ càng được khuếch đại. Các hệ thống CI/CD thường xuyên lưu trữ thông tin xác thực đám mây có thời gian tồn tại dài dưới dạng biến môi trường hoặc bí mật được gắn kết. Một runner xây dựng bị nhiễm độc duy nhất có thể âm thầm trao tay các khóa kiểm soát toàn bộ môi trường đám mây, có khả năng mở ra cánh cửa cho đánh cắp dữ liệu, triển khai ransomware hoặc truy cập backdoor dai dẳng.

Đây cũng là lý do các đội bảo mật nên lưu ý rằng các điểm xâm nhập chuỗi cung ứng thường nối tiếp nhau dẫn đến xâm phạm hệ thống sâu hơn. Cảnh báo gần đây của CISA về CVE-2026-31431, một lỗ hổng leo thang đặc quyền cục bộ trên Linux là một lời nhắc nhở trực tiếp: những kẻ tấn công đã đặt chân lên hệ thống bằng thông tin xác thực bị đánh cắp hoặc truy cập ban đầu hiếm khi dừng lại ở đó. Chúng tìm kiếm mắt xích tiếp theo trong chuỗi.

Vì Sao Các Cuộc Tấn Công Chuỗi Cung Ứng Là Điểm Mù Với Bảo Mật Tiêu Chuẩn

Các công cụ bảo mật truyền thống được xây dựng dựa trên giả định rằng mã bên ngoài, không được ký hoặc không xác định mới là mối đe dọa. Tường lửa, tác nhân phát hiện điểm cuối và trình quét dựa trên chữ ký được hiệu chỉnh để gắn cờ những điểm bất thường. Tấn công chuỗi cung ứng lật ngược mô hình đó bằng cách ẩn mình bên trong phần mềm mang chữ ký hợp pháp và đến qua một kênh được mong đợi.

Trong trường hợp này, thương hiệu Red Hat cùng lịch sử tài khoản GitHub liên quan sẽ trao cho các gói bị xâm phạm một mức độ tin cậy ngầm rất cao. Các nhà phát triển làm việc trên hạ tầng liên quan đến Red Hat có thể đã cài đặt những gói này chính vì họ kỳ vọng chúng được bảo trì tốt và an toàn.

Các công cụ quét phụ thuộc tiêu chuẩn chỉ kiểm tra các phiên bản có lỗ hổng đã biết sẽ không phát hiện được những kẻ đánh cắp thông tin xác thực chạy lúc cài đặt, trừ khi phiên bản độc hại đó đã được gắn cờ trong cơ sở dữ liệu lỗ hổng. Cuộc tấn công khai thác khoảng trống giữa phát hiện ‘được biết là xấu’ và phân tích hành vi.

Phòng Thủ Theo Lớp: Quản Lý Bí Mật, Phân Đoạn Mạng và VPN

Không một biện pháp kiểm soát đơn lẻ nào ngăn chặn được một cuộc tấn công chuỗi cung ứng tinh vi, nhưng phòng thủ theo lớp có thể giảm đáng kể bán kính ảnh hưởng.

Quản lý bí mật thay vì tệp thông tin xác thực cục bộ. Biện pháp giảm thiểu hiệu quả nhất là loại bỏ hoàn toàn các tệp thông tin xác thực tĩnh khỏi máy nhà phát triển và runner CI/CD. Những công cụ cấp thông tin xác thực ngắn hạn, đúng lúc có nghĩa là ngay cả khi thông tin xác thực bị đánh cắp, nó cũng hết hạn trước khi kẻ tấn công có thể sử dụng một cách có ý nghĩa.

Ghim phiên bản phụ thuộc và xác minh tính toàn vẹn. Khóa các gói vào những hash commit cụ thể, đã được xác minh thay vì dải phiên bản thả nổi giúp hạn chế việc bộc lộ trước những thay đổi mã không mong đợi. Kết hợp điều này với kiểm tra tính toàn vẹn tự động trên nội dung gói sẽ bổ sung thêm một lớp phát hiện.

Phân đoạn mạng và lọc luồng ra. Mã độc Mini Shai-Hulud cần gửi dữ liệu bị đánh cắp đi đâu đó. Hạn chế các kết nối ra bên ngoài từ môi trường xây dựng và máy nhà phát triển chỉ đến những điểm cuối đã biết có thể ngăn chặn việc đánh cắp dữ liệu ngay cả khi mã độc thực thi thành công. VPN và kiến trúc mạng zero-trust có thể thực thi nhất quán các chính sách luồng ra này trên các đội ngũ phân tán.

Xác thực đa yếu tố trên mọi tài khoản nhà phát triển. Xâm phạm ban đầu ở đây là việc chiếm đoạt tài khoản GitHub. Các yêu cầu MFA mạnh, đặc biệt là khóa bảo mật phần cứng hoặc xác thực dựa trên passkey, khiến việc cướp tài khoản trở nên khó khăn hơn đáng kể.

Giám sát hành vi trong pipeline CI/CD. Cảnh báo về các truy vấn DNS ra ngoài hoặc kết nối mạng không mong đợi trong giai đoạn xây dựng có thể làm lộ mã độc chạy lúc cài đặt trước khi các thông tin xác thực bị đánh cắp được sử dụng.

Điều Này Có Ý Nghĩa Gì Với Bạn

Nếu môi trường phát triển hoặc vận hành của bạn phụ thuộc vào bất kỳ gói npm Dịch vụ Đám mây nào của Red Hat, ưu tiên trước mắt là kiểm tra xem phiên bản gói nào đang được sử dụng, tìm kiếm các chỉ báo xâm phạm trong nhật ký mạng xung quanh các sự kiện cài đặt, và xoay vòng mọi thông tin xác thực đám mây có thể đã hiện diện trên các hệ thống bị ảnh hưởng.

Rộng hơn, sự cố này là một lời nhắc nhở về việc rà soát toàn bộ quy trình vệ sinh thông tin xác thực đám mây của bạn. Thông tin xác thực có được lưu dưới dạng tệp trên máy nhà phát triển không? Các biến môi trường CI/CD có được giới hạn theo nguyên tắc đặc quyền tối thiểu không? MFA có được thực thi trên mọi tài khoản có quyền xuất bản gói không?

Các cuộc tấn công chuỗi cung ứng thành công bằng cách khai thác lòng tin. Biện pháp đối phó là xây dựng những hệ thống không chỉ dựa vào lòng tin ngầm – danh tính đã xác minh, bí mật có giới hạn thời gian và giám sát hành vi chính là nền tảng. Hãy bắt đầu bằng một cuộc kiểm tra thông tin xác thực ngay hôm nay, và coi mọi phụ thuộc như một bề mặt tấn công tiềm tàng đáng được xem xét kỹ lưỡng.