Shai-Hulud：關於在軟體管道中傳播的惡意軟體，你需要了解什麼

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯5906 字

简讯 - Shai-Hulud 恶意软件已与约 300 个 npm 和 PyPI 软件包条目相关联。 - OpenAI、Microsoft 和 Mistral AI 披露了近期与 Shai-Hulud 相关的事件。 - 该恶意软件滥用了 GitHub Actions 和受信任的软件发布工作流。一种被称为“Shai-Hulud”的恶意软件活动正在通过开发者用于构建和分发代码的软件管道进行传播，这引发了人们对现代互联网在多大程度上依赖于几乎没有直接人工监督的自动化系统的新担忧。研究人员将 Shai-Hulud 恶意软件活动与 Node Package Manager (NPM) 和 PyPI 上的约 320 个软件包条目联系起来，这两个平台是开发者下载和共享 JavaScript 及 Python 软件包的两个最大的在线存储库。受影响的软件包每月总下载量超过 5.18 亿次。 “Shai-Hulud 之所以重要，是因为它暴露了一个我们无法完全修补的问题：现代软件是通过运行他人的代码构建的，”总部位于加州的安防公司 Contrast Security 的 CTO Jeff Williams 对 Decrypt 表示。“开发者不仅仅是‘下载’库。他们安装库、使用库进行构建、测试、部署，并最终执行它们。如果你运行了一个恶意库，它几乎可以执行你能做的任何事情。” Williams 表示，人工智能的进步使威胁变得更加复杂，他将 Shai-Hulud 比作让计算机成为双重间谍。 “最可怕的部分是杠杆效应。如果攻击者破坏了一个不起眼的软件包，他们得到的不仅仅是那个软件包，”Williams 说。“他们获得了一条通往所有信任该软件包的下游项目的路径。然后他们可以窃取更多的令牌，发布更多的中毒软件包，并重复这个循环。软件供应链不再是一条链，而是一个传播网络，”他补充道。本月早些时候，Microsoft Threat Intelligence 披露，攻击者将恶意代码插入了一个通过 PyPI 分发的 Mistral AI 软件包中。Microsoft 表示，该恶意软件下载了一个额外的文件，旨在模仿 Hugging Face 广泛使用的 Transformers 库，以便融入机器学习开发环境。 Mistral 随后表示，受影响的开发者设备卷入了该事件，但补充称“没有迹象表明 Mistral 基础设施受到损害”。两天后，OpenAI 证实，与同一活动相关的恶意软件感染了两台员工设备，并使攻击者能够访问有限数量的内部代码存储库。该公司表示，没有发现客户数据、生产系统或知识产权受到损害的证据。 Shai-Hulud 降临该恶意软件以 Frank Herbert 的《Dune》中的巨型沙虫命名，研究人员将该恶意软件的早期版本追溯到 2025 年 9 月，并指向被称为 TeamPCP 的网络犯罪分子。然而，在 5 月 11 日发生针对 TanStack（一种广泛用于 Web 和云应用程序的开源 JavaScript 框架）的重大攻击后，该活动引起了更广泛的关注。 Shai-Hulud 是一种日益增长的供应链攻击类型的一部分，黑客在这种攻击中破坏其他公司已经使用的受信任软件工具或服务。攻击者不是直接针对受害者，而是利用这些受信任的系统来传播恶意代码或获取对开发环境的访问权限。研究人员表示，这些攻击会毒化共享的构建缓存，以便未来的软件版本会悄悄地引入恶意代码。对于下载这些软件包的开发者来说，一切看起来都很正常，因为软件来自受信任的来源，带有有效的签名，并通过了常规的安全检查。这就是让这次攻击如此令人不安的原因。周日，网络安全公司 OX Security 报告称，模仿原始恶意软件的新型恶意软件包已经在窃取云和加密钱包凭据、SSH 密钥和环境变量。与此同时，一些变体试图将受感染的机器变成 DDoS 僵尸网络。 “一个证明这是与 TeamPCP 不同的行为者的确凿证据是，Shai-Hulud 恶意软件代码几乎是泄露源代码的精确副本，没有任何混淆技术，这使得最终版本在视觉上与原始版本不同，”OX Security 写道。“在我们的分析中，我们展示了 chalk-template Shai-Hulud 版本与原始源代码泄露的并排比较，表明它们是相同的。” 围绕 Shai-Hulud 的新闻出现之际，现代软件开发者正日益依赖 GitHub Actions 等自动化平台。与此同时，针对开源基础设施的供应链攻击变得越来越普遍，因为攻击者越来越关注开发者工具和自动化发布系统，而不是直接针对终端用户系统。 “（Shai-Hulud）提醒我们，（系统、应用程序和产品）攻击面现在已经远远超出了传统的应用层，延伸到了为

数据状态✓ 已抓取全文阅读原文（Decrypt）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-05-29

分析师称XRP的时钟正在滴答作响，以下是你需要知道的

相似度 130%關鍵字 what/know

2026-05-27

关于何一的 5 件事——首位登上《财富》最具影响力女性榜的加密货币掌门人

相似度 130%關鍵字 about/know

2026-05-25

关于新任 Fed 主席 Kevin Warsh，你需要知道的三件事

相似度 130%關鍵字 about/know

2026-05-22

Space X IPO：對科技股是「壞消息」，但對 Bitcoin 呢？

相似度 130%關鍵字 what/about

2026-05-21

Chainlink 继续通过 SVR 扩展引领预言机经济——你需要了解的内容

相似度 130%關鍵字 what/know

2026-05-18

想知道 CLARITY 法案对 XRP 都说了些什么？这些部分值得重点关注

相似度 130%關鍵字 what/about

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：37eb6556bb

来源：Decrypt

发布：2026-05-20 22:00:04

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言