【安全圈】Shai Hulud npm 蠕虫再爆发

关键词

网络攻击

Shai Hulud npm 蠕虫在短暂沉寂后再次出现，并以更猛烈的方式冲击软件供应链。该蠕虫最早在 2025 年 9 月被报道，当时仅感染约 180 个软件仓库。而在 11 月 24 日这次新一轮攻击中，蠕虫的传播速度呈指数级提升。Aikido Security 的研究员 Charlie Eriksen 在凌晨 5 点 10 分（CET）首次发现异常，短短几小时内遭感染的项目数量飙升至 19,000 个以上，比上一轮攻击扩大近百倍。

攻击最初从 go-template、AsyncAPI 的 36 个软件包开始，随后扩散至 PostHog、Postman 等项目。超过 60 个核心软件包在第一波中被攻破，其中包括 Zapier 和 ENS 平台的主要工具，如 @zapier/zapier-sdk、zapier-platform-core、@ensdomains/ensjs、ethereum-ens、typeorm-orbit 等。与前一版本相比，这次蠕虫动作更快、杀伤力更高，因为攻击者吸取了上次失败的教训，不再依赖 Webhook，而是直接将窃取的凭证上传至公共 GitHub 仓库，避免了速度瓶颈。

Aikido 的调查显示，这轮攻击的目的仍然是窃取开发者的敏感凭证，包括 AWS 密钥、API Key、GitHub Token、npm Token 等。蠕虫会自动扫描本地电脑以及已登录的云平台账户，并使用 TruffleHog 搜索所有可能存在的秘密信息。一旦开发者的密钥遭窃取，攻击者会立即利用这些密钥去感染更多软件包，使受害者瞬间变成新的攻击源，形成极强的连锁式传播。

尽管攻击规模惊人，但攻击者的某些失误导致部分影响受限，例如核心恶意文件 bun_environment.js 在打包时偶尔失败。截至目前，共有 425 个软件包被确认携带新蠕虫，而公开 GitHub 上已有超过 19,000 个仓库包含被窃的密钥信息，其描述中带有“Sha1-Hulud: The Second Coming”字样。累计暴露的仓库已超过 26,300 个，涉及的受影响软件包每月下载量总计达到 1.32 亿次。

此次事件紧随另一场针对开发者的攻击之后不久，当时研究人员刚刚从 VSCode 市场下架了一个伪装成 Prettier 的扩展，该扩展用于投递 Anivia Stealer。这一连串事件再次凸显开发者长期处在网络犯罪攻击链的第一线。

面对 Shai Hulud 的新一轮爆发，开发者需要立即采取应对措施，包括卸载受感染的软件包、全面轮换 GitHub、npm、云服务及 CI/CD 的密钥，检查异常 GitHub 仓库描述，关闭 CI 环境下的 npm postinstall 脚本，并为所有账户强制开启多因素认证。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！