ChainCatcher 消息,慢霧科技首席信息安全官 23pds 發佈安全預警,NPM 供應鏈攻擊的最新變種 “Shai-Hulud 3” 再次來襲,請各項目方和平臺注意防範,此前懷疑 Trust Wallet API key 洩露可能為 Shai-Hulud 2 攻擊導致。
Shai-Hulud 是一系列針對 NPM 生態的自傳播蠕蟲式供應鏈攻擊,用於竊取開發者憑證、雲密鑰和環境秘密。最新變種(社區稱為 Shai-Hulud 3 或新 strain)於 2025 年 12 月 28 日被 Aikido Security 研究員 Charlie Eriksen 發現,目前傳播範圍有限,可能僅為測試階段。
