【安全圈】Shai Hulud npm 蠕蟲再爆發

關鍵詞

網絡攻擊

Shai Hulud npm 蠕蟲在短暫沉寂后再次出現，并以更猛烈的方式沖擊軟件供應鏈。該蠕蟲最早在 2025 年 9 月被報道，當時僅感染約 180 個軟件倉庫。而在 11 月 24 日這次新一輪攻擊中，蠕蟲的傳播速度呈指數級提升。Aikido Security 的研究員 Charlie Eriksen 在凌晨 5 點 10 分（CET）首次發現異常，短短幾小時內遭感染的項目數量飆升至 19,000 個以上，比上一輪攻擊擴大近百倍。

攻擊最初從 go-template、AsyncAPI 的 36 個軟件包開始，隨后擴散至 PostHog、Postman 等項目。超過 60 個核心軟件包在第一波中被攻破，其中包括 Zapier 和 ENS 平臺的主要工具，如 @zapier/zapier-sdk、zapier-platform-core、@ensdomains/ensjs、ethereum-ens、typeorm-orbit 等。與前一版本相比，這次蠕蟲動作更快、殺傷力更高，因為攻擊者吸取了上次失敗的教訓，不再依賴 Webhook，而是直接將竊取的憑證上傳至公共 GitHub 倉庫，避免了速度瓶頸。

Aikido 的調查顯示，這輪攻擊的目的仍然是竊取開發者的敏感憑證，包括 AWS 密鑰、API Key、GitHub Token、npm Token 等。蠕蟲會自動掃描本地電腦以及已登錄的云平臺賬戶，并使用 TruffleHog 搜索所有可能存在的秘密信息。一旦開發者的密鑰遭竊取，攻擊者會立即利用這些密鑰去感染更多軟件包，使受害者瞬間變成新的攻擊源，形成極強的連鎖式傳播。

盡管攻擊規模驚人，但攻擊者的某些失誤導致部分影響受限，例如核心惡意文件 bun_environment.js 在打包時偶爾失敗。截至目前，共有 425 個軟件包被確認攜帶新蠕蟲，而公開 GitHub 上已有超過 19,000 個倉庫包含被竊的密鑰信息，其描述中帶有“Sha1-Hulud: The Second Coming”字樣。累計暴露的倉庫已超過 26,300 個，涉及的受影響軟件包每月下載量總計達到 1.32 億次。

此次事件緊隨另一場針對開發者的攻擊之后不久，當時研究人員剛剛從 VSCode 市場下架了一個偽裝成 Prettier 的擴展，該擴展用于投遞 Anivia Stealer。這一連串事件再次凸顯開發者長期處在網絡犯罪攻擊鏈的第一線。

面對 Shai Hulud 的新一輪爆發，開發者需要立即采取應對措施，包括卸載受感染的軟件包、全面輪換 GitHub、npm、云服務及 CI/CD 的密鑰，檢查異常 GitHub 倉庫描述，關閉 CI 環境下的 npm postinstall 腳本，并為所有賬戶強制開啟多因素認證。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！