npm Worm đánh cắp Khóa Crypto, Nhắm vào 19 Gói phần mềm

Một sâu tự nhân bản trên npm mang tên SANDWORM_MODE đã xâm nhập vào hơn 19 gói, thu thập khoá riêng tư, mnemonic BIP39, tệp ví và khoá API LLM từ môi trường phát triển.

Một cuộc tấn công chuỗi cung ứng npm đang diễn ra trực tiếp và lan rộng trong môi trường nhà phát triển ngay lúc này. Nhóm Nghiên cứu Mối đe dọa của Socket đã phát hiện ra thứ mà họ gọi là SANDWORM_MODE, một sâu tự nhân bản lây lan qua ít nhất 19 gói npm độc hại liên kết với hai bí danh nhà phát hành. Như SocketSecurity đã đăng trên X, đây là một cuộc tấn công chuỗi cung ứng đang hoạt động, đánh cắp bí mật phát triển và CI, chèn workflow của GitHub, làm nhiễm độc các công cụ AI và thu thập khoá API LLM.

Chiến dịch này lấy cảm hứng trực tiếp từ họ nhà sâu Shai-Hulud. Khoá riêng tư là mục tiêu hàng đầu. Không có cổng thời gian, không có độ trễ. Các tài sản crypto được phát hiện khi nhập khẩu sẽ ngay lập tức bị trích xuất qua một điểm thoát riêng biệt trước khi bất kỳ giai đoạn payload nào khác được kích hoạt.

Bạn Cần Biết: Các Mối Đe Dọa An Ninh Ví Tiền Điện Tử Đang Gia Tăng Phải Đọc: Lỗ Hổng Bảo Mật Trust Wallet: Cách Bảo Vệ Tài Sản Của Bạn

Cách Sâu Này Tiếp Cận Khoá Riêng Tư Của Bạn Đầu Tiên

Sâu hoạt động theo thiết kế hai giai đoạn. Giai đoạn 1 kích hoạt ngay khi nhập khẩu, thu thập token npm, token GitHub, bí mật môi trường và khoá crypto chỉ qua đọc tệp. Không thực thi shell, không gây tiếng ồn. Mnemonics BIP39, khoá riêng Ethereum, mảng byte Solana, khoá WIF Bitcoin, và chuỗi xprv đều bị quét qua trong lần đầu tiên.

Các khoá crypto ngay lập tức rời khỏi máy qua POST HTTPS tới một Worker của Cloudflare tại pkg-metrics[.]official334[.]workers[.]dev/drain. Điều này xảy ra trước bất kỳ kiểm tra cổng thời gian nào. Trước khi Giai đoạn 2 thậm chí được tải.

Giai đoạn 2 nằm sau một độ trễ 48 giờ, dựa trên một hàm băm MD5 của hostname và tên người dùng. Nó đi sâu hơn: quản lý mật khẩu qua Bitwarden, 1Password và LastPass CLI, các kho lưu trữ SQLite cục bộ bao gồm Apple Notes và Messages của macOS, cùng với quét toàn bộ hệ thống tệp để tìm các tệp ví. Trong môi trường CI, cổng này hoàn toàn biến mất. Toàn bộ payload sẽ kích hoạt trên GITHUB_ACTIONS, GITLAB_CI, CIRCLECI, JENKINS_URL và BUILDKITE mà không cần chờ đợi.

Theo SocketSecurity trên X, sâu còn chèn các workflow của GitHub và làm nhiễm độc các công cụ AI, chi tiết đã được xác nhận trong bản tiết lộ kỹ thuật đầy đủ của Socket.

Cũng Nên Đọc: $21 Triệu Bitcoin bị tịch thu đã được trả lại sau khi chính quyền đóng băng các giao dịch

Các Công Cụ Lập Trình AI Cũng Bị Tấn Công Nặng Nề

Ba gói giả mạo Claude Code. Một trong số đó nhắm vào OpenClaw, một agent AI đã đạt hơn 210.000 sao trên GitHub. Module McpInject của sâu triển khai một máy chủ MCP độc hại vào các cấu hình của Claude Code, Claude Desktop, Cursor, VS Code Continue và Windsurf trên đĩa. Mỗi cái đều có mục nhập công cụ giả mạo trỏ tới một máy chủ độc hại, ẩn.

Máy chủ này chứa các lệnh chèn prompt nhúng, yêu cầu trợ lý AI đọc lặng lẽ khoá SSH, chứng chỉ AWS, token npm và bí mật môi trường trước mỗi lần gọi công cụ. Mô hình không bao giờ tiết lộ cho người dùng. Việc chèn này còn rõ ràng chặn nó khỏi việc làm điều đó.

Chín nhà cung cấp LLM bị nhắm tới để thu thập khoá API: OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral và Cohere. Khoá được lấy từ biến môi trường và tệp .env, xác thực theo mẫu định dạng đã biết trước khi trích xuất.

Việc trích xuất dữ liệu diễn ra qua ba kênh liên tiếp: đầu tiên là HTTPS tới Cloudflare Worker, sau đó là tải lên qua API GitHub xác thực tới các kho riêng tư bằng mã hóa double-base64, rồi qua tunneling DNS qua các truy vấn mã hóa base32 tới freefan[.]net và fanfree[.]net. Một thuật toán tạo miền dựa trên seed “sw2025” cung cấp phương án dự phòng qua mười TLD nếu tất cả các phương án khác thất bại.

Cần Xem: Glassnode cảnh báo về cạn kiệt nhu cầu BTC

Hai bí danh nhà phát hành đứng sau chiến dịch là official334 và javaorg. 19 gói độc hại đã được xác nhận gồm suport-color@1.0.1, claud-code@0.2.1, cloude@0.3.0, crypto-locale@1.0.0, secp256@1.0.0 và scan-store@1.0.0 cùng các gói khác. Bốn gói ngủ khác (ethres, iru-caches, iruchache, và uudi) chưa chứa payload độc hại.

npm đã gỡ bỏ các gói độc hại này. GitHub đã xóa bỏ hạ tầng của tác nhân đe dọa. Cloudflare đã thu hồi các worker. Nhưng các nhà phòng thủ cần hành động ngay lập tức.

Nếu bất kỳ gói nào trong số này đã chạy trong môi trường của bạn, hãy coi máy đó đã bị xâm phạm. Thay mới token npm và GitHub, thay mới tất cả bí mật CI, kiểm tra các tệp .github/workflows/ để phát hiện các phần tử pull_request_target có thể đã thêm serialize ${｛｝} đểJSON(secrets). Kiểm tra cài đặt mẫu hook git toàn cục bằng lệnh git config --global init.templateDir. Xem xét cấu hình trợ lý AI để phát hiện các mục nhập bất thường của MCP server. Một engine polymorphic không hoạt động, sử dụng deepseek-coder:6.7b, đã được nhúng trong sâu và hiện đang tắt trong bản này, nghĩa là các biến thể trong tương lai có thể tự viết lại để tránh bị phát hiện.

Trong mã còn có một switch chết. Hiện đã bị vô hiệu hóa. Khi kích hoạt, nó sẽ chạy find ~ -type f -writable và xóa tất cả các tệp có quyền ghi trong thư mục home. Operator vẫn đang tiếp tục chỉnh sửa.