网路安全公司 SlowMist 发布了新的安全警告。他们侦测到 Shai-Hulud 供应链攻击卷土重来,目前版本编号为 3.0。该警告由 SlowMist 的首席资讯安全官 23pds 发出,他敦促 Web3 团队和平台立即加强防御。警告指出,最新变种攻击目标是 NPM 生态系统,NPM 是现代软体开发中广泛使用的套件管理器。
此类供应链攻击使得恶意程式码能够透过可信赖的开源程式库传播,而且开发者往往毫不知情。因此,即使是小规模的感染也能迅速蔓延至多个项目。 SlowMist 指出,先前的几起事件,包括过去与 Trust Wallet 相关的 API 金钥泄露,可能源自早期版本的 Shai-Hulud。该恶意软体的再次出现引发了人们的担忧,即攻击者正在改进并重新部署已被验证有效的攻击手段。
Shai-Hulud 3.0 有何不同之处
安全研究人员表示,Shai-Hulud 3.0 与早期版本相比,技术上发生了明显变化。独立研究人员的分析表明,该恶意软体现在使用了不同的档案名,并改变了有效载荷结构,提高了跨作业系统的兼容性。据报道,新版本移除了先前的「死人开关」(dead man switch)。该功能可以在特定条件下停用恶意软体。虽然移除该功能降低了一些风险,但也显示攻击者正在简化执行过程以逃避侦测。
⚠️
— 23pds (山哥) (@im23pds) 2025 年 12 月 29 日
NPM供应链攻击Shai-Hulud 3.0再次来袭请各专案方和平台注意防护!
怀疑通讯员@TrustWallet API key泄漏可能是Shai-Hulud 2.0攻击所导致的结果。
抄送 @evilcos @Foresight_News @wublockchain12 https://t.co/mfLw43X035
研究人员还观察到,该恶意软体似乎是透过混淆处理而非直接复制原始原始码而来。这一细节表明攻击者可能获取了先前的攻击材料,并指向一个更老练的威胁行为者。初步调查结果显示,该恶意软体目前的传播范围有限,这意味著攻击者可能仍在测试其有效载荷。
研究人员调查活跃的 NPM 包
独立安全研究员查理·埃里克森证实,他的团队正在积极调查这种新型恶意软体。根据公开消息,该恶意软体是在一个特定的 NPM 套件中检测到的,这促使研究人员对相关依赖项进行更深入的审查。调查显示,该恶意软体试图提取环境变数、云端凭证和秘密文件,并将这些资料上传到攻击者控制的储存库。这些技术与先前的 Shai-Hulud 攻击一致,但展现出更精细的序列化和错误处理能力。目前,研究人员表示没有证据显示该恶意软体已造成大规模入侵。然而,他们警告说,一旦攻击者确认其稳定性,供应链攻击往往会迅速蔓延。
敦促业界加强依赖安全
SlowMist建议专案团队审核依赖项、锁定软体包版本并监控异常网路行为。同时,也鼓励开发人员审查建构流程并限制对敏感凭证的存取。该公司强调,供应链威胁仍是Web3和开源软体领域最被低估的风险之一。即使是安全措施完善的平台,也可能透过第三方函式库而暴露于风险之中。随著调查的深入,安全专家建议保持谨慎而非恐慌。但他们一致认为,Shai-Hulud 3.0事件提醒我们,软体供应链仍是高价值的攻击目标。
