Thu hồi chứng chỉ gây ra việc Khoan Dọn Vật Lý? Sâu Rò Rò Đánh Cắp của TanStack đã được phát hành mã nguồn mở, đi kèm với công tắc giết không thể đảo ngược

Theo theo giám sát từ Động Biến, nhóm hacker TeamPCP, người đứng sau vụ tấn công đầu đường cung cấp npm, đã mã nguồn mở hoàn toàn con giun Mini Shai-Hulud liên quan dưới giấy phép MIT trên GitHub. Các nhà nghiên cứu an ninh phát hiện trong mã nguồn rằng phần mềm độc hại này đi kèm với một "công tắc tự sát", nếu nhà phát triển bị nhiễm và không tiêu diệt hồi cắn hoàn toàn, việc thu hồi các chứng chỉ GitHub hoặc dịch vụ đám mây bị đánh cắp, phần mềm độc hại sẽ ngay lập tức xóa sạch toàn bộ thư mục chính của máy tính.

Các nhà nghiên cứu đã xác nhận rằng con giun này sẽ cài đặt một tiến trình bảo hộ ẩn sau trên macOS hoặc Linux, kiểm tra mỗi phút một lần xem chứng chỉ đánh cắp có còn hiệu lực. Khi mà chứng chỉ bị máy chủ từ chối (điều này ám chỉ rằng nạn nhân đã thực hiện chu kỳ chuyển đổi chứng chỉ), con giun sẽ ngay lập tức gọi lệnh cấp thấp hơn hệ thống shred, triệt hạ tất cả các tập tin có thể ghi dưới thư mục người dùng chính hiện tại (Thư mục Home) một cách không thể quay trở lại.

Điều này trực tiếp lật đổ quy trình phản ứng an ninh thông thường: Phản ứng đầu tiên của doanh nghiệp khi gặp rò rỉ chứng chỉ thường là ngay lập tức thu hồi khóa, nhưng trong cuộc tấn công này, điều này sẽ kích hoạt trực tiếp việc phá hủy dữ liệu cục bộ. Hiện tại, con giun này đã bị xác nhận nhiễm trùng gần 400 phiên bản từ hơn 170 thư viện bao gồm TanStack, UiPath và Mistral AI. Hacker đã mở mã từ tài khoản PedroTortoriello và châm chọc "mở nguồn cảnh sát địa phương", thậm chí có bên thứ ba gửi PR để thêm hỗ trợ FreeBSD. Hiện tại, Microsoft đã khóa ngay lập tức tài khoản này và xóa tất cả các kho lưu trữ GitHub và nhánh Fork, nhưng mã nguồn đã rò rỉ vẫn đang lan truyền trên các kênh khác.