Đã xóa gói độc hại nhưng vẫn không có tác dụng: MiniShai-Hulud ảnh hưởng đến TanStack, OpenSearch và client Mistral

Theo Beating Watch Surveillance, một loại mã độc đào mỏ có tên là "Mini Shai-Hulud" (con sâu cát trong "Dune") đang lan truyền trong sinh thái front-end và back-end AI. Nhóm tấn công TeamPCP vào lúc 3:20 đến 3:26 ngày 12 tháng 5 (UTC+8) đã chiếm quyền kiểm soát dòng sản xuất chính thức của TanStack và đẩy 84 phiên bản độc hại của 42 gói chính thức lên npm, bao gồm `@tanstack/react-router` có hàng triệu lượt tải xuống hàng tuần. Sau đó, mã độc lây nhiễm lan sang PyPI, danh sách nạn nhân mới nhất bao gồm gói trên Amazon `@opensearch-project/opensearch` (tải xuống hàng tuần qua npm 1.3 triệu lần), ứng dụng khách hàng chính thức Mistral `mistralai` và công cụ bảo vệ AI `guardrails-ai` (cả hai đều trên PyPI).

Các gói độc hại có vẻ hoàn toàn giống với bản phát hành chính thức. Kẻ tấn công không lấy cắp bất kỳ thông tin xác thực dài hạn nào mà thay vào đó tận dụng lỗ hổng cấu hình GitHub Actions để chiếm quyền điều khiển dòng sản xuất chính thức và có quyền xuất bản tạm thời hợp pháp. Do đó, các gói độc hại đã nhận chữ ký nguồn gốc SLSA thực sự (một loại nhãn chống giả mạo chứng minh "gói thực sự được tạo bởi dòng sản xuất chính thức"). Logic mà các nhà phát triển tin tưởng trong quá khứ "đã ký = an toàn" đã bị hoàn toàn xâm lược.

Điều nguy hiểm hơn, việc gỡ bỏ gói độc hại hoàn toàn không đủ. Phân tích đảo ngược của Socket.dev cho thấy, sau khi bị lây nhiễm, mã độc sẽ tự động ghi vào hook thực thi của Claude Code (`.claude/settings.json`) và cấu hình nhiệm vụ của VS Code (`.vscode/tasks.json`). Ngay cả khi gói độc đã bị xóa, chỉ cần nhà phát triển mở thư mục dự án sau đó hoặc kích hoạt trợ lý AI, mã độc sẽ tự động tái xuất hiện. Ngưỡng kích hoạt phía Python thậm chí còn thấp hơn: nhà phát triển ngay cả không cần gọi bất kỳ hàm nào, chỉ cần `import` gói bị nhiễm độc sẽ kích hoạt âm thầm mã độc.

Nhóm TeamPCP đã để lại lời nhắn chế giễu trực tiếp trên tên miền giả mạo phân phối tải `git-tanstack[.]com`: "Chúng tôi đã thực hiện trộm hơn hai giờ chứng chỉ trực tuyến rồi, nhưng tôi chỉ đến để chào hỏi :^)". Mã độc vẫn đang tự lây nhiễm lan truyền. Máy tính đã cài đặt gói bị ảnh hưởng trong cửa sổ thời gian nêu trên nên được xem xét đã bị chiếm đoạt: ngay lập tức đổi tất cả các thông tin xác thực bao gồm AWS, GitHub, npm, SSH, kiểm tra kỹ thư mục `.claude/` và `.vscode/`, và cài đặt lại từ các lockfile sạch.