【安全圈】Shai Hulud npm 蠕蟲(chóng)再爆發(fā)

關(guān)鍵詞

網(wǎng)絡(luò)攻擊

Shai Hulud npm 蠕蟲(chóng)在短暫沉寂后再次出現(xiàn)，并以更猛烈的方式?jīng)_擊軟件供應(yīng)鏈。該蠕蟲(chóng)最早在 2025 年 9 月被報(bào)道，當(dāng)時(shí)僅感染約 180 個(gè)軟件倉(cāng)庫(kù)。而在 11 月 24 日這次新一輪攻擊中，蠕蟲(chóng)的傳播速度呈指數(shù)級(jí)提升。Aikido Security 的研究員 Charlie Eriksen 在凌晨 5 點(diǎn) 10 分（CET）首次發(fā)現(xiàn)異常，短短幾小時(shí)內(nèi)遭感染的項(xiàng)目數(shù)量飆升至 19,000 個(gè)以上，比上一輪攻擊擴(kuò)大近百倍。

攻擊最初從 go-template、AsyncAPI 的 36 個(gè)軟件包開(kāi)始，隨后擴(kuò)散至 PostHog、Postman 等項(xiàng)目。超過(guò) 60 個(gè)核心軟件包在第一波中被攻破，其中包括 Zapier 和 ENS 平臺(tái)的主要工具，如 @zapier/zapier-sdk、zapier-platform-core、@ensdomains/ensjs、ethereum-ens、typeorm-orbit 等。與前一版本相比，這次蠕蟲(chóng)動(dòng)作更快、殺傷力更高，因?yàn)楣粽呶×松洗问〉慕逃?xùn)，不再依賴(lài) Webhook，而是直接將竊取的憑證上傳至公共 GitHub 倉(cāng)庫(kù)，避免了速度瓶頸。

Aikido 的調(diào)查顯示，這輪攻擊的目的仍然是竊取開(kāi)發(fā)者的敏感憑證，包括 AWS 密鑰、API Key、GitHub Token、npm Token 等。蠕蟲(chóng)會(huì)自動(dòng)掃描本地電腦以及已登錄的云平臺(tái)賬戶(hù)，并使用 TruffleHog 搜索所有可能存在的秘密信息。一旦開(kāi)發(fā)者的密鑰遭竊取，攻擊者會(huì)立即利用這些密鑰去感染更多軟件包，使受害者瞬間變成新的攻擊源，形成極強(qiáng)的連鎖式傳播。

盡管攻擊規(guī)模驚人，但攻擊者的某些失誤導(dǎo)致部分影響受限，例如核心惡意文件 bun_environment.js 在打包時(shí)偶爾失敗。截至目前，共有 425 個(gè)軟件包被確認(rèn)攜帶新蠕蟲(chóng)，而公開(kāi) GitHub 上已有超過(guò) 19,000 個(gè)倉(cāng)庫(kù)包含被竊的密鑰信息，其描述中帶有“Sha1-Hulud: The Second Coming”字樣。累計(jì)暴露的倉(cāng)庫(kù)已超過(guò) 26,300 個(gè)，涉及的受影響軟件包每月下載量總計(jì)達(dá)到 1.32 億次。

此次事件緊隨另一場(chǎng)針對(duì)開(kāi)發(fā)者的攻擊之后不久，當(dāng)時(shí)研究人員剛剛從 VSCode 市場(chǎng)下架了一個(gè)偽裝成 Prettier 的擴(kuò)展，該擴(kuò)展用于投遞 Anivia Stealer。這一連串事件再次凸顯開(kāi)發(fā)者長(zhǎng)期處在網(wǎng)絡(luò)犯罪攻擊鏈的第一線。

面對(duì) Shai Hulud 的新一輪爆發(fā)，開(kāi)發(fā)者需要立即采取應(yīng)對(duì)措施，包括卸載受感染的軟件包、全面輪換 GitHub、npm、云服務(wù)及 CI/CD 的密鑰，檢查異常 GitHub 倉(cāng)庫(kù)描述，關(guān)閉 CI 環(huán)境下的 npm postinstall 腳本，并為所有賬戶(hù)強(qiáng)制開(kāi)啟多因素認(rèn)證。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！