Việc thu hồi chứng chỉ lại kích hoạt thanh lý vật lý? Worm đánh cắp dữ liệu của TanStack được mở mã nguồn, chứa công tắc chết không thể đảo ngược

Theo theo dõi Beating, nhóm hacker gây ra vụ tấn công độc hại chuỗi cung ứng npm, TeamPCP, đã mở mã nguồn đầy đủ của sâu worm liên quan là Mini Shai-Hulud trên GitHub theo giấy phép MIT. Các nhân viên an ninh phát hiện rằng phần mềm độc hại này đi kèm với “công tắc chết”, nếu nhà phát triển bị nhiễm bệnh mà không xóa sạch các tệp còn sót lại, và ngay lập tức thu hồi chứng chỉ GitHub hoặc dịch vụ đám mây bị đánh cắp, phần mềm độc hại sẽ ngay lập tức xóa sạch thư mục chính của máy tính.

Các nhà nghiên cứu xác nhận rằng sâu worm này sẽ cài đặt một tiến trình bảo vệ chạy nền trên macOS hoặc Linux, mỗi phút kiểm tra xem các chứng chỉ đã bị đánh cắp còn hiệu quả hay không. Một khi phát hiện chứng chỉ bị từ chối bởi máy chủ (nghĩa là nạn nhân đã thực hiện thay đổi chứng chỉ), sâu sẽ ngay lập tức gọi lệnh shred của hệ thống để không thể phục hồi, nghiền nát tất cả các tệp có thể ghi trong thư mục chính của người dùng (Home directory).

Điều này trực tiếp phá vỡ quy trình phản ứng an ninh thông thường: phản ứng đầu tiên của doanh nghiệp khi bị rò rỉ chứng cứ thường là khóa lại các khóa, nhưng trong cuộc tấn công này, hành động đó lại kích hoạt việc tiêu hủy dữ liệu tại chỗ. Hiện tại, sâu worm này đã được xác nhận nhiễm vào gần 400 phiên bản của hơn 170 thư viện chứa các gói như TanStack, UiPath và Mistral AI. Sau khi hacker công khai mã nguồn dưới tài khoản tên PedroTortoriello và chế nhạo “mở mã nguồn cho cuộc tàn sát này”, thậm chí có bên thứ ba đã gửi PR để thêm hỗ trợ FreeBSD. Hiện tại, Microsoft đã nhanh chóng chặn tài khoản này và xóa tất cả các kho lưu trữ GitHub cùng các nhánh Fork, nhưng mã nguồn đã bị rò rỉ vẫn đang lưu hành trên các kênh khác.