網路安全公司 SlowMist 發布了新的安全警告。他們偵測到 Shai-Hulud 供應鏈攻擊捲土重來,目前版本編號為 3.0。該警告由 SlowMist 的首席資訊安全官 23pds 發出,他敦促 Web3 團隊和平台立即加強防禦。警告指出,最新變種攻擊目標是 NPM 生態系統,NPM 是現代軟體開發中廣泛使用的套件管理器。
此類供應鏈攻擊使得惡意程式碼能夠透過可信賴的開源程式庫傳播,而且開發者往往毫不知情。因此,即使是小規模的感染也能迅速蔓延至多個項目。 SlowMist 指出,先前的幾起事件,包括過去與 Trust Wallet 相關的 API 金鑰洩露,可能源自早期版本的 Shai-Hulud。該惡意軟體的再次出現引發了人們的擔憂,即攻擊者正在改進並重新部署已被驗證有效的攻擊手段。
Shai-Hulud 3.0 有何不同之處
安全研究人員表示,Shai-Hulud 3.0 與早期版本相比,技術上發生了明顯變化。獨立研究人員的分析表明,該惡意軟體現在使用了不同的檔案名,並改變了有效載荷結構,提高了跨作業系統的兼容性。據報道,新版本移除了先前的「死人開關」(dead man switch)。該功能可以在特定條件下停用惡意軟體。雖然移除該功能降低了一些風險,但也顯示攻擊者正在簡化執行過程以逃避偵測。
⚠️
— 23pds (山哥) (@im23pds) 2025 年 12 月 29 日
NPM供應鏈攻擊Shai-Hulud 3.0再次來襲請各專案方和平台注意防護!
懷疑通訊員@TrustWallet API key洩漏可能是Shai-Hulud 2.0攻擊所導致的結果。
抄送 @evilcos @Foresight_News @wublockchain12 https://t.co/mfLw43X035
研究人員還觀察到,該惡意軟體似乎是透過混淆處理而非直接複製原始原始碼而來。這一細節表明攻擊者可能獲取了先前的攻擊材料,並指向一個更老練的威脅行為者。初步調查結果顯示,該惡意軟體目前的傳播範圍有限,這意味著攻擊者可能仍在測試其有效載荷。
研究人員調查活躍的 NPM 包
獨立安全研究員查理·埃里克森證實,他的團隊正在積極調查這種新型惡意軟體。根據公開消息,該惡意軟體是在一個特定的 NPM 套件中檢測到的,這促使研究人員對相關依賴項進行更深入的審查。調查顯示,該惡意軟體試圖提取環境變數、雲端憑證和秘密文件,並將這些資料上傳到攻擊者控制的儲存庫。這些技術與先前的 Shai-Hulud 攻擊一致,但展現出更精細的序列化和錯誤處理能力。目前,研究人員表示沒有證據顯示該惡意軟體已造成大規模入侵。然而,他們警告說,一旦攻擊者確認其穩定性,供應鏈攻擊往往會迅速蔓延。
敦促業界加強依賴安全
SlowMist建議專案團隊審核依賴項、鎖定軟體包版本並監控異常網路行為。同時,也鼓勵開發人員審查建構流程並限制對敏感憑證的存取。該公司強調,供應鏈威脅仍是Web3和開源軟體領域最被低估的風險之一。即使是安全措施完善的平台,也可能透過第三方函式庫而暴露於風險之中。隨著調查的深入,安全專家建議保持謹慎而非恐慌。但他們一致認為,Shai-Hulud 3.0事件提醒我們,軟體供應鏈仍是高價值的攻擊目標。
