Shai-Hulud: The novel self-replicating worm infecting NPM packages
8 months ago
- #npm
- #cybersecurity
- #malware
- 工程师于2025年9月15日发现NPM软件仓库遭遇供应链攻击
- 攻击中使用了名为Shai-Hulud的新型自传播恶意软件
- 已识别约200个受感染软件包,包括@ctrl/tinycolor等流行组件
- 该恶意软件窃取凭证、外泄数据,并试图传播至其他NPM软件包
- Shai-Hulud还通过将私有仓库公开的方式泄露GitHub数据
- Sysdig威胁研究团队(TRT)正在监测该蠕虫的传播态势
- 由于快速响应,新增受感染软件包数量已有所减缓
- 恶意软件在受感染NPM软件包的安装后阶段执行
- 主要针对Linux和macOS系统,窃取GitHub/NPM/AWS/GCP凭证
- 创建带有'-migration'后缀的公开GitHub仓库实施数据泄露
- 使用trufflehog二进制文件搜索敏感凭证
- 可通过Sysdig Secure和Falco工具配合特定规则进行检测
- Sysdig TRT建议回滚受影响软件包、轮换凭证并监控GitHub活动