Ghi chú chính
- Mã độc đã được chèn vào các gói @ensdomains từ ngày 21-23 tháng 11 nhằm vào thông tin xác thực của nhà phát triển trên GitHub, npm và các dịch vụ đám mây.
- Cuộc tấn công lan rộng thông qua các tài khoản duy trì bị xâm nhập, tự động thực thi trong quá trình cài đặt tiêu chuẩn.
- Các gói bị ảnh hưởng bao gồm gate-evm-check-code2, create-hardhat3-app, ethereum-ens và hơn 40 thư viện thuộc phạm vi @ensdomains.
Các gói phần mềm Ethereum Name Service ENS $11.61 biến động 24h: 4.0% Vốn hóa thị trường: $439.48 M Khối lượng 24h: $72.23 M đã bị xâm nhập trong một cuộc tấn công mạng chuỗi cung ứng ảnh hưởng đến hơn 400 thư viện mã trên npm, một nền tảng nơi các nhà phát triển chia sẻ và tải về công cụ phần mềm. ENS Labs cho biết tài sản và tên miền của người dùng dường như không bị ảnh hưởng.
Nhóm đã phát hiện các gói bắt đầu bằng @ensdomains bị ảnh hưởng vào khoảng 5:49 sáng UTC ngày 24 tháng 11 và kể từ đó đã cập nhật phiên bản gói đồng thời thay đổi thông tin xác thực bảo mật, theo ENS Labs. Các trang web do ENS vận hành bao gồm app.ens.domains không có dấu hiệu bị ảnh hưởng.
Chúng tôi đã xác định rằng một số gói npm bắt đầu bằng @ensdomains được xuất bản vào khoảng 5:49 sáng UTC hôm nay có thể bị ảnh hưởng bởi một cuộc tấn công chuỗi cung ứng Sha1-Hulud đã xâm nhập hơn 400 thư viện NPM, bao gồm một số gói ENS.
Nhóm đã cập nhật tất cả các thẻ mới nhất và đang…
— ens.eth (@ensdomains) 24 tháng 11, 2025
Theo Aikido Security, đơn vị đầu tiên phát hiện chiến dịch này vào ngày 24 tháng 11, cuộc tấn công cũng đã xâm nhập các gói từ Zapier, PostHog, Postman và AsyncAPI.
Các gói crypto nằm trong số nạn nhân
Nhiều thư viện phát triển blockchain đã bị cuốn vào cuộc tấn công diện rộng này. Các gói bị ảnh hưởng bao gồm gate-evm-check-code2 và evm-checkcode-cli dùng để xác minh bytecode hợp đồng thông minh, create-hardhat3-app cho khởi tạo dự án Ethereum ETH $2 964 biến động 24h: 4.8% Vốn hóa thị trường: $357.84 B Khối lượng 24h: $32.76 B, và coinmarketcap-api để tích hợp dữ liệu giá.
Các thư viện crypto khác bị ảnh hưởng bao gồm ethereum-ens và crypto-addr-codec, dùng để mã hóa địa chỉ tiền mã hóa. Hơn 40 gói trong phạm vi @ensdomains đã bị xâm nhập.
Sự cố này gợi nhớ đến một cửa hậu được phát hiện trong các gói XRP Ledger vào tháng 4, khi mã độc được chèn vào xrpl.js để đánh cắp khóa riêng tư.
Cách thức hoạt động của cuộc tấn công
Các gói độc hại đã được tải lên npm từ ngày 21-23 tháng 11. Phần mềm độc hại lan truyền bằng cách xâm nhập tài khoản duy trì và chèn mã vào các gói của họ. Nó tự động thực thi khi các nhà phát triển chạy lệnh cài đặt tiêu chuẩn.
Phần mềm độc hại thu thập mật khẩu nhà phát triển và token truy cập từ GitHub, npm và các dịch vụ đám mây lớn. Nó đăng dữ liệu bị đánh cắp lên các kho lưu trữ GitHub công khai và tạo các điểm truy cập ẩn trên máy bị nhiễm để phục vụ các cuộc tấn công trong tương lai.
Một tìm kiếm trên GitHub cho thấy hiện có 26.300 kho lưu trữ chứa thông tin xác thực bị đánh cắp, phân tán trên khoảng 350 tài khoản bị xâm nhập. Con số này tiếp tục tăng khi cuộc tấn công vẫn đang diễn ra.
Các nhà nghiên cứu Koi Security đã phát hiện thêm một mối đe dọa khác. Nếu phần mềm độc hại không thể đánh cắp thông tin xác thực hoặc gửi dữ liệu ra ngoài, nó sẽ xóa toàn bộ tệp trong thư mục chính của người dùng.
Phản ứng của nhà phát triển
ENS Labs cho biết các nhà phát triển chưa cài đặt các gói ENS trong vòng 11 giờ kể từ thời điểm phát hiện lúc 5:49 sáng UTC có khả năng không bị ảnh hưởng. Những người đã cài đặt trong khoảng thời gian đó nên xóa thư mục node_modules, xóa bộ nhớ cache npm và thay đổi tất cả thông tin xác thực.
Sự cố này nối tiếp một loạt các vụ vi phạm an ninh crypto đã thử thách các dự án hạ tầng trong năm nay. GitHub đang tích cực xóa các kho lưu trữ do kẻ tấn công tạo ra, mặc dù các kho mới vẫn tiếp tục xuất hiện.
next
