การกลับมาของ Mini Shai-Hulud: การโจมตีซัพพลายเชนแบบแพร่กระจายตัวเองถล่มระบบนิเวศ npm (5/11)

(stepsecurity.io)

1 คะแนน โดย lamanus 1 시간 전 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp

ภาพรวม

เหตุการณ์นี้เกี่ยวข้องกับเวิร์ม Mini Shai-Hulud ที่กำลังแพร่เชื้อแพ็กเกจ npm ปกติอย่างต่อเนื่อง โดยยึดครองไปป์ไลน์ CI/CD และขโมยซีเคร็ตของนักพัฒนา StepSecurity's OSS Package Security Feed ตรวจพบการโจมตีนี้ครั้งแรกในแพ็กเกจทางการ @tanstack และกำลังติดตามการแพร่กระจายทั่วทั้งระบบนิเวศแบบเรียลไทม์

ช่วงเวลาที่เกิดเหตุและขนาดผลกระทบ

เมื่อประมาณ 19:20 UTC ของวันที่ 11 พฤษภาคม 2026 มีการเผยแพร่เวอร์ชันอันตราย 10 เวอร์ชันของแพ็กเกจทางการ @tanstack/* ขึ้นสู่ npm registry ภายในเวลาไม่ถึง 6 นาที แพ็กเกจเหล่านี้เป็นองค์ประกอบหลักของเฟรมเวิร์ก TanStack Router ที่ถูกใช้งานในโปรเจกต์ React หลายแสนรายการ

เพย์โหลดอันตราย

มีการฝังเพย์โหลดขโมยข้อมูลรับรองที่ถูกทำให้อ่านยากขนาด 2.3MB ซึ่งออกแบบมาเพื่อรวบรวม GitHub token, npm token และ CI/CD secret

ภัยคุกคามสำคัญ — กลไกการแพร่กระจายตัวเอง

เวิร์ม Shai-Hulud ไม่จำเป็นต้องเจาะเข้าสู่รีโพซิทอรีโดยตรง แต่จะอาศัยกระบวนการ build ปกติและใช้โทเค็นของผู้ใช้เพื่อแพร่กระจายตัวเอง นี่คือประเด็นสำคัญของการโจมตีครั้งนี้: แม้แต่แพ็กเกจที่มี SLSA provenance, การเผยแพร่แบบอิง OIDC และไปป์ไลน์ CI/CD ที่เชื่อถือได้ ก็ยังสามารถถูกทำให้กลายเป็นอาวุธได้

ความเสี่ยงของการติดเชื้อแบบลูกโซ่

โครงสร้างที่เชื่อมโยงถึงกันของระบบนิเวศ npm เป็นตัวกลางการแพร่กระจายที่เหมาะอย่างยิ่ง และเมื่อโทเค็นเพียงตัวเดียวถูกเจาะ ก็อาจเกิดการติดเชื้อแบบลูกโซ่ไปยังหลายสิบแพ็กเกจภายในไม่กี่นาที — ในกรณีนี้ก็มีการปล่อย 10 เวอร์ชันอันตรายครอบคลุม 5 แพ็กเกจภายในเวลาไม่ถึง 6 นาที