迷你 Shai-Hulud 蠕蟲利用一個被盜賬戶，在 30 分鐘內劫持了 323 個 npm 包。

5 月 19 日，Mini Shai-Hulud 蠕蟲入侵了一個 npm 維護者帳戶，並在不到 30 分鐘內向 323 個軟件包推送了 639 個惡意版本。.

被盜用的賬戶“atool”（i@hust.cc）發佈了阿里巴巴的整個@antv數據可視化堆棧，以及用於加密貨幣儀表板、 DeFi 前端和金融科技應用程序的獨立庫。.

流量最高的目標：size-sensor 每週下載量達 420 萬次，echarts-for-react 每週下載量達 110 萬次，@antv/scale 每週下載量達 220 萬次，timeago.js 每週下載量達 115 萬次。.

這樣的語義化版本範圍的 ^3.0.6 echarts-for-react 項目，在下次全新安裝時會自動解析爲惡意版本 3.2.7。維護者在一小時內關閉了 GitHub 上的安全警告，並將這些警告隱藏在已關閉的問題中。

有效載荷竊取的內容以及如何持久保存

據 Socket.dev 報道，該惡意軟件可收集 20 多種dent類型：通過 EC2 和 ECS 元數據獲取 AWS 密鑰、Google Cloud 和 Azure 令牌、GitHub 和 npm 令牌、SSH 密鑰、Kubernetes 服務帳戶、HashiCorp Vault 密鑰、Stripe API 密鑰、數據庫連接字符串以及來自 1Password 和 Bitwarden 的本地密碼庫。.

數據外泄通過兩個渠道進行。被盜dent使用 AES-256-GCM 加密後發送到命令與控制服務器。.

作爲備用方案，該蠕蟲會利用被盜的 GitHub 令牌創建以《沙丘》爲主題的公共倉庫，例如 sardaukar-melange-742 或 fremen-sandworm-315，然後將竊取的數據作爲文件提交。StepSecurity 報告稱，已有超過 2500 個 GitHub 倉庫包含與此次攻擊活動相關的指標。.

此外，該蠕蟲還對通過 HTTPS 傳輸的 OpenTelemetry trac數據進行加密。在基於 Linux 的機器上，它會設置一個 systemd 用戶服務，即使軟件包已被刪除，該服務仍能從 GitHub 獲取指令。.

該蠕蟲會修改 .vscode 和 .claude 配置文件，以確保在開發環境中重新激活。.

這場運動仍在不斷發展壯大。

這是第三波攻擊。 正如 Cryptopolitan 報道的那樣 ，最初的 Shai-Hulud 變種病毒攻擊了 Trust Wallet 的 npm 包，造成 850 萬美元的損失。第二波攻擊發生在 5 月 11 日，受害者包括 Mistral AI、TanStack、UiPath 和 Guardrails AI。

Socket 通過 npm、PyPI 和 Composer，在 502 個不同的軟件包中總共識別dent1,055 個受損版本。.

據Datadog研究人員稱，此次攻擊背後的威脅組織TeamPCP曾在地下黑客論壇上推廣其工具。由於出現了使用不同命令與控制服務器的仿製版本，因此難以追溯攻擊源頭。.

SlowMist 首席執行官 23pds 表示，任何安裝了受影響版本的環境都應被視爲完全被攻破。.

建議採取的措施包括撤銷所有訪問令牌、輪換 AWS、GitHub、npm 和雲提供商的dent、對帳戶發佈實施多因素身份驗證，以及審查存儲庫中的任何可疑活動。.

如果你正在閱讀這篇文章，你已經領先一步了。 訂閱我們的新聞簡報，繼續保持領先優勢。