标签
微型沙虫(Mini Shai-Hulud)攻击浪潮在npm生态中大规模爆发,639个恶意包版本感染了@antv系列(@antv/g2、@antv/g6、@antv/x6等)及echarts-for-react等323个包,攻击者通过preinstall钩子注入混淆的index.js,在安装时窃取GitHub令牌、npm令牌、AWS凭证及CI/CD平台密钥,并使用AES-256-GCM加密将数据外泄至https://t[.]m-kosche[.]com域名,同时利用被盗npm凭证重新发布感染更多包。由于受影响包每周下载量达数百万次,自动拉取新版本的组织面临重大下游风险,应通过版本固定、npm令牌审计及监控异常网络行为进行防御。
TeamPCP组织发动了新一轮"Mini Shai-Hulud"蠕虫攻击,通过劫持GitHub Actions的OIDC令牌和GitHub自有发布流程,在npm上发布了84个恶意版本的@tanstack包(含@tanstack/react-router、@tanstack/router-core等42个包),并附带伪造的SLSA Build Level 3 provenance签名——这是首个携带有效 provenance 的恶意npm蠕虫。恶意载荷读取Runner.Worker进程内存提取所有工作流密钥,扫描100余个凭证路径(涵盖云密钥、加密钱包、AI工具配置等),并在Claude Code、VS Code及系统服务中植入持久化后门,随后通过Session Protocol CDN和GitHub GraphQL API外泄数据。防御关键是:SLSA provenance仅证明构建来源,不保证构建行为可信,需结合包体积异常检测、网络出站白名单及CI/CD内存凭证隔离等手段综合防护。
安全研究人员发现针对NPM生态系统的供应链攻击,攻击者入侵了包括@opensearch-project/opensearch(130万周下载量)和@mistralai/mistralai(200万周下载量)在内的300多个包。恶意代码针对CI/CD环境,利用OIDC集成绕过可信发布保护,窃取GitHub个人访问令牌后用于创建 Dune 主题的公开仓库传播窃取的加密凭证。建议检查CI环境中的ghp令牌并审查commit信息中的"OhNoWhatsGoingOnWithGitHub:"字符串。
GCSI 2026年度峰会在芝加哥举行,Mark Rorabaugh(InfraShield)等专家在"Securing Supply Chains Amid Opacity"专题讨论中指出,供应链风险已扩展至供应商的供应商、嵌入式软件和大语言模型等盲区,清单式合规无法替代真正的风险理解。Evan Pena(Armadin)在主题演讲中警告AI驱动的大规模并行攻击("hyperattacks")正在加速,组织必须建立检测工程、安全运营与自动修复相互强化的飞轮机制。专家建议:企业需对AI工具和服务账号等非人类身份实施持续发现、凭证轮换和 gobernanza(治理)能力,以应对加速中的威胁。
四个SAP相关npm包(mbt@1.2.48、@cap-js/sqlite@2.2.2、@cap-js/postgres@2.2.2、@cap-js/db-service@2.10.1)被植入名为"Shai-Hulud"的凭证窃取蠕虫,通过preinstall钩子下载Bun运行时并执行11.6MB混淆载荷,窃取npm token、AWS/GCP/Azure凭据、SSH密钥后自动传播到其他包。攻击者利用OIDC可信发布滥用和被盗npm token两种路径投递恶意版本,并注入VSCode任务和Claude Code会话钩子实现持久化。防御建议:检查是否安装了上述版本、轮换所有凭据、检查仓库中是否存在.vscode/tasks.json和.claude/settings.json恶意钩子文件。
Shai-Hulud蠕虫已感染第三个npm包:intercom-client@7.0.4(周下载量361,510次),攻击者通过被劫持的GitHub Actions OIDC发布管道于4月30日14:41 UTC发布恶意版本,SLSA provenance签名缺失。该Payload(routerruntime.js)从窃取GitHub/npm令牌升级为多云凭证扫描器,可从AWS元数据端点(169.254.169.254)、GCP元数据服务器(metadata.google.internal)及Azure连接字符串中提取凭证,并通过api.github.com建立私有仓库完成数据外泄。建议立即降级至7.0.3并轮换所有CI/CD环境中暴露的云凭据。
攻击者利用被盗的Bitwarden工程师GitHub账户,通过OIDC可信发布机制在npm上发布了被篡改的@bitwarden/cli@2026.4.0版本。该版本包含一个preinstall钩子,会静默下载Bun运行时并执行9.7MB的混淆恶意程序,专门窃取SSH密钥、GitHub令牌、云凭证及AI工具配置(包括~/.claude.json和MCP服务器配置),数据通过AES-256-GCM加密后外传至冒充Checkmarx的audit.checkmarx.cx域名,GitHub令牌还可被武器化用于向开发者可达的所有仓库注入恶意工作流。
StepSecurity为其Dependabot配置管理新增了cooldown(冷却时间)和group(分组)功能,支持npm、pip、Docker、GitHub Actions等生态系统的更新频率控制和PR批量合并。该功能解决了因依赖更新PR过多导致团队停止审查、补丁更新延迟的老大难问题,与已有的npm Package Cooldown检查(曾成功拦截Shai-Hulud和axios投毒攻击)形成互补。企业可通过统一策略管理,确保团队以可持续的节奏审查依赖更新,而非在供应链攻击来临时无法判断自身受影响范围。
2026年4月30日,PyPI上广受欢迎的深度学习框架lightning(前PyTorch Lightning)的2.6.2和2.6.3版本被发现供应链投毒:导入包时自动下载Bun运行时并执行11MB混淆载荷routerruntime.js,窃取令牌、凭证、环境变量和云端密钥,并利用受害者GitHub凭证将窃取数据提交至代码库,同时感染机器上的npm包tarball。上一干净版本为2026年1月30日发布的2.6.1,Lightning AI的GitHub账号存在凭证泄露迹象。该攻击属于"Shai-Hulud"供应链攻击家族,载荷存于运行时下载的外部JS文件,静态分析无法完全揭示其能力,开发者应立即回退至2.6.1并审查凭证。
GitGuardian研究发现,攻击者正通过npm、PyPI、Docker Hub等包管理生态系统的供应链活动,大量窃取开发者工作站上的凭证。2025年在GitHub公开提交中检测到超过2860万个新Secrets,同比增长34%;在Shai-Hulud研究中,6943台被入侵机器发现33185个唯一凭证,其中至少3760个在被发现时仍有效。AI编程工具加剧风险——允许Claude Code等助手共同提交代码的开发者,每个提交泄露的Secrets是普通开发者的两倍。防御关键是将安全控制前移至开发者本地环境:通过ggshield IDE扩展、pre-commit/pre-push钩子及AI工作流钩子,在凭证进入Git历史或共享基础设施前完成检测和阻断。
Bitwarden/CLI的npm包被入侵,恶意代码将数据发送至audit.checkmarx.cx,并通过GitHub提交中的beautifulcastle和LongLiveTheResistanceAgainstMachines标记进行C2通信。该攻击还针对Claude Code等六款AI编程助手,在~/.bashrc和~/.zshrc中植入反AI宣言。研究确认攻击通过被篡改的Checkmarx KICS Docker镜像利用Dependabot自动更新传播,建议对依赖更新添加冷却机制。
2026年4月21日至23日,三起供应链攻击同时针对npm、PyPI和Docker Hub展开。攻击者通过被篡改的Checkmarx KICS镜像、pgserve蠕虫(CanisterSprawl)和xinference包窃取API密钥、云凭证、SSH密钥和环境变量。TeamPCP被确认策划了KICS和xinference攻击,而CanisterSprawl蠕虫使用Internet Computer Protocol作为C2通道,能跨生态系统自我传播。防御关键是:即使包已运行,也要立即轮换所有可能被访问的密钥,因为三个攻击活动的唯一目标都是从开发环境和CI/CD管道中提取凭证。
2023年CI/CD领域发生多起重大安全事件,包括CircleCI泄露、朝鲜和俄罗斯国家行为者利用未修补的JetBrains TeamCity服务器实施攻击,以及Azure CLI和Google Cloud Build漏洞导致的密钥和供应链攻击。GitHub Actions以53%的使用率超越Jenkins成为主流平台,但超过20,000个第三方Actions的"废弃软件"风险日益突出。2024年将面临AI/ML部署扩大攻击面、监管趋严等新挑战,CISA、NIST等机构已发布CI/CD安全指南,企业需加强第三方组件审核、及时打补丁并采用CIS GitHub基准等最佳实践。
StepSecurity的AI Package Analyst和Harden-Runner于周一晚间率先检测到npm最热门HTTP客户端axios被入侵,发现恶意版本1.14.1和0.30.4注入plain-crypto-js后门,C2域名指向sfrclak.com;国家支持的攻击者同时控制了维护者的GitHub账号,删除警告Issue约20次以压制社区响应,GitHub随即封禁该账号、npm下架恶意包。axios每周下载超1亿次,是npm历史上按下载量计最大单包被黑事件,Google威胁情报组后续将攻击归因于朝鲜APT组织UNC1069(Sapphire Sleet)。防御要点:自动化供应链安全检测不可或缺,且需在维护者认证环节加强社交工程攻击防护。
StepSecurity将其企业级开发者机器安全工具Dev Machine Guard开源,供所有开发者和安全团队免费使用。该工具是一个bash脚本,能够快速扫描并盘点开发者机器上的AI编码助手、MCP服务器配置、IDE扩展、npm包等开发者工具层,揭示传统EDR无法识别的攻击面。该工具曾帮助检测Shai-Hulud npm供应链攻击(500+个包被入侵)和s1ngularity Nx供应链攻击(构建系统被武器化窃取凭证),但当时组织难以快速确认哪些开发者机器受到影响。安全团队应使用此工具建立开发者机器的完整资产清单,防止类似供应链攻击在自家环境中潜伏。