19 gói npm độc hại, nhắm đánh cắp credential và khóa crypto

Một chiến dịch worm chuỗi cung ứng đang hoạt động được phát hiện lợi dụng ít nhất 19 package npm độc hại để đánh cắp token, secrets và khóa tiền mã hóa, đồng thời mở rộng lây nhiễm bằng tài khoản npm và GitHub bị chiếm quyền và nhắm cả các công cụ AI hỗ trợ lập trình.

Tổng quan chiến dịch SANDWORM_MODE

Chiến dịch được đặt tên SANDWORM_MODE, mang nhiều dấu hiệu tương tự các đợt Shai-Hulud trước đây: mã độc trong package có thể thu thập thông tin hệ thống, access token, API key và secrets môi trường từ máy dev rồi tự lan bằng danh tính npm và GitHub bị đánh cắp, theo phân tích trong bài viết này: phân tích của Socket.

Danh sách package bị nêu tên

Các package bị nêu tên được đăng bởi hai alias official334 và javaorg gồm:

• claud-code@0.2.1
• cloude-code@0.2.1
• cloude@0.3.0
• crypto-locale@1.0.0
• crypto-reader-info@1.0.0
• detect-cache@1.0.0
• format-defaults@1.0.0
• hardhta@1.0.0
• locale-loader-pro@1.0.0
• naniod@1.0.0
• node-native-bridge@1.0.0
• opencraw@2026.2.17
• parse-compat@1.0.0
• rimarf@1.0.0
• scan-store@1.0.0
• secp256@1.0.0
• suport-color@1.0.1
• veim@2.46.2
• yarsg@18.0.1

Ngoài ra có 4 sleeper packages hiện chưa thấy tính năng độc hại: ethres, iru-caches, iruchache, uudi.

Kỹ thuật lây lan và đánh cắp secrets

Rủi ro tăng mạnh vì worm không chỉ lan trong npm mà còn nhúng GitHub Action độc hại để hút secrets CI/CD và exfiltrate qua HTTPS, kèm DNS fallback. Payload cũng có routine kiểu kill switch có thể xóa home directory nếu mất quyền truy cập GitHub và npm, nhưng đang tắt mặc định.

Nhắm AI coding assistants qua MCP

Điểm đáng lo là module McpInject nhắm thẳng AI coding assistants bằng cách dựng một MCP server độc hại theo tài liệu Model Context Protocol, sau đó đăng ký các tool theo cơ chế MCP tools để nhúng prompt injection đọc file nhạy cảm như ~/.ssh/id_rsa, ~/.ssh/id_ed25519, ~/.aws/credentials, ~/.npmrc và .env rồi gom lại chờ exfiltration. Báo cáo cũng nêu mục tiêu gồm Claude Code, Claude Desktop, Cursor, VS Code Continue và Windsurf, đồng thời thu thập API key của nhiều nhà cung cấp LLM.

Mẫu còn chứa ý đồ né phát hiện bằng engine polymorphic có thể gọi Ollama local với model DeepSeek Coder để rewrite mã, dù tính năng này đang tắt trong các package bị phát hiện. Chuỗi tấn công chạy 2 giai đoạn và giai đoạn 2 chỉ kích hoạt sau 48 giờ, kèm jitter theo máy có thể cộng thêm tối đa 48 giờ.

Khuyến nghị

• Nếu đã cài bất kỳ package nào trong danh sách, cần gỡ ngay.
• Rotate npm token, GitHub token và CI secrets.
• Rà soát package.json, lockfiles và .github/workflows để phát hiện thay đổi bất thường.

Cùng thời điểm, các nhóm khác cũng cảnh báo mối đe dọa tương tự: Veracode phân tích buildrunner-dev tại bài của Veracode, còn JFrog mô tả eslint-verify-plugin trong bài của JFrog với agent Mythic như Poseidon và Apfell. Checkmarx cũng cảnh báo extension VS Code giả mạo solid281 lợi dụng cơ chế kích hoạt khi ứng dụng khởi động theo tài liệu onStartupFinished của VS Code, chi tiết trong bài của Checkmarx.