2026 年 5 月 12 日星期二,安全公司 Ox 發現惡意軟體組織 TeamPCP 在 GitHub 上的兩個儲存庫中發布了自己的惡意軟體「Shai-Hulud」蠕蟲的源代碼。該儲存庫附有來自 TeamPCP 的訊息,並根據 MIT 許可證獲得許可。在發布前幾個小時,The Register 檢查的分叉數量分別為 1 個和 31 個,但在撰寫本文時已增加到 5 個和 39 個。
Ox 指出,另一位 GitHub 用戶「agwagwagwa」已經分叉了它並提交了拉取請求以添加 FreeBSD 支援。 Shai-Hulud 蠕蟲攻擊 npm 套件並竊取 AWS、GCP、Azure 和 GitHub 憑證以進行自身傳播。它於2025年9月被研究人員發現,同年11月出現了增強型變種。截至撰寫本文時,該儲存庫已在線上保持超過 12 小時,微軟的 GitHub 並未進行幹預。
從: 
惡意軟體團隊 TeamPCP 在 GitHub 上開源其 Shai-Hulud 蠕蟲病毒
【編輯部評論】
此訊息的本質不是惡意軟體本身的發布,而是進攻民主化已經越線的事實極為不尋常的是,一款先前在黑市上買賣的攻擊工具,如今已在面向開發者的平台上獲得了 MIT 許可證,允許任何人對其進行修改和重新分發。
ReversingLabs 的研究人員於 2025 年 9 月 15 日在 npm 註冊表中首次觀察到 Shai-Hulud 蠕蟲。最初的感染源是一個名為「rxnt-authentication」的套件,它在短短幾天內自我複製到數百個 npm 套件中。史上第一個“自我複製供應鏈蠕蟲”敲響了警鐘。它的名字取自弗蘭克·赫伯特的科幻小說《沙丘》中的巨型沙漠沙蟲,顧名思義,它旨在從內到外吞噬發展生態系統。
此後,Snyk 和 ReversingLabs 報告稱,攻擊者於 2025 年 11 月在 Shai-Hulud 2.0(Second Coming)中創建了超過 25,000 個惡意程式碼庫。此後,亞種不斷出現,並在 2026 年觀察到了名為「Mini Shai-Hulud」的新浪潮。其中,5 月 11 日發生的 TanStack 攻擊被歸類為根據 Snyk 分析,CVE-2026-45321 被評為“嚴重”,這是一次大規模事件,感染了 42 個軟體包,其中包括每週下載量達 1270 萬次的@tanstack/react-router,還涉及 Mistral AI 和 UiPath。
問題是這些攻擊的核心邏輯現在已經開源了。 TeamPCP 自己在其儲存庫中留下了一條挑釁性的信息,「它是 vibe 編碼的嗎?是的。」表明他們使用 AI 輔助編碼(所謂的「vibe 編碼」)開發了惡意軟體。提高生成式人工智慧時代的攻擊者生產力它清楚地講述了這個故事。
從技術上講,最可怕的功能是蠕蟲內建的自毀機制,稱為「死人開關」。根據 The Hacker News 報導,在最新變種中,攻擊者創建的 npm 令牌被命名為“IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner”,如果開發者嘗試撤銷它,rm -rf ~/據報道,它旨在刪除主目錄。以威脅方式將受害者扣為「人質」的攻擊方式是一種與勒索軟體區別的惡意方式。有。
開源的影響是嚴重的。正如Ox分析師所說:TeamPCP不再是「傳播」惡意軟體,而是「能力」本身。即使沒有經驗的攻擊者也可以透過簡單地分叉 MIT 許可的程式碼並替換 C2 伺服器和金鑰來創建自己的變體。從 The Register 在發布前確認到撰寫本文時的短短幾個小時內,兩個存儲庫中的分叉總數從 32 個躍升至 44 個,這一事實證明模仿者已經在行動。
這事件也給了營運 GitHub 的微軟棘手的問題。自 2025 年 12 月以來,該公司透過擴展 Microsoft Defender 和整合 SBOM(軟體物料清單)來加強供應鏈防禦,但這次儲存庫在超過 12 小時內未刪除。平台經營者的責任範圍,換句話說,就是「託管自由到什麼程度,共謀到什麼程度?」之間的界線。又被問到了。
從經濟角度來看,這一點也不容忽視。一項產業預測估計,2025 年軟體供應鏈攻擊造成的損失將達到 600 億美元,2031 年將達到 1,380 億美元,規模可見一斑。另一方面,npm 生態系統也是許多日本 Web 服務、SaaS 和 FinTech 透過 JavaScript 框架廣泛使用的基礎。@tanstack/react-router 每週下載 1270 萬次的事實表明,我們日常使用的服務在不知不覺中就被列入了「污染候選名單」。顯示。
從長遠來看,防守者心態的改變是不可避免的。雖然 pnpm、Yarn Berry 和 Bun 等「消費者端」套件管理器已經實施了預設禁用生命週期腳本和「發佈冷卻期」等措施,但 npm CLI 本身在這方面仍然落後。儘管有許多對策可供選擇,例如 OIDC 的可信任發布、SLSA Provenance 和基於 WebAuthn 的 2FA,但仍很少有開發組織能夠全部使用它們。
在監管方面,美國的EO 14028(網路安全行政命令)和歐盟的CRA(網路彈性法案)正在朝著強制提交SBOM的方向發展,而在日本,經濟產業省已發布了《軟體管理實施SBOM(軟體物料清單)指南》(2024年8月發布2.0版)。編輯部認為,這次開源事件可以作為契機,讓我們更體認到建立這樣一個系統的必要性。
innovaTopia 之所以報導這篇文章,是因為這不僅僅是一次安全事件。透過人工智慧、開源文化、授權、平台責任和這是人類對程式碼的信任動搖的轉捩點。。 Shai-Hulud 的開源是一個具有像徵意義的事件,它標誌著軟體開發的人類基礎設施已經進入了攻擊和防禦之間不對稱的下一階段。
【術語解釋】
謝胡魯德
法蘭克‧赫伯特的科幻小說《沙丘》中出現的阿拉吉斯星球上巨型沙蟲的名字。惡意軟體研究人員將自我複製的 npm 蠕蟲命名為它從內到外吞噬開發生態系統的方式。
npm(節點套件管理器)
世界上最大的 JavaScript 套件註冊表,是所有 Node.js 開發人員依賴程式碼重複使用的基礎。
供應鏈攻擊
這是一種不直接針對目標組織,而是透過插入惡意程式碼間接滲透到該組織信任的軟體、函式庫、供應商等的攻擊方式。
自己複製型ワーム(self-propagating worm)
一種惡意軟體,透過濫用受感染環境的權限,自動複製並傳播到其他軟體包和環境,而不需要人類手動傳播。
振動編碼
一種向生成人工智慧提供「氛圍」級指令並讓它在不了解語法或規範細節的情況下編寫程式碼的方法。當強調速度時,品質和可維護性往往會被放在次要位置。
C2伺服器(命令與控制伺服器)
外部伺服器,充當攻擊者的命令中心,向受感染的設備發送命令並接收被盜資料。
死人開關
一種在滿足某些條件時(例如,當攻擊令牌被撤銷時)自動啟動破壞性操作的機制。在這種情況下,會觸發主目錄刪除。
生命週期腳本
在安裝 npm 套件(安裝前/安裝後)之前和之後自動執行的腳本。它已成為攻擊者最大的攻擊面。
OIDC(OpenID Connect)/可信任發布
透過 CI/CD 工作流程中的短期憑證發布包的機制,無需儲存 API 令牌。引入它是為了防止令牌洩漏。
SLSA 出處
一種以加密方式證明「哪個儲存庫、來自哪個提交、透過哪個工作流程」建構了套件的機制。然而,如果建置過程本身被劫持,它就會變得無效。
SBOM(軟體物料清單)
清楚顯示軟體中包含的所有元件和相依性的「物料清單」。強制提交正在根據美國 EO 14028 和歐盟 CRA 進行。
網路身分驗證 / 2FA
除了密碼之外,還使用實體金鑰或生物識別身份驗證來驗證您的身份的身份驗證方法。 WebAuthn 具有很高的網路釣魚抵抗能力,被認為比 TOTP(基於時間的一次性密碼)更安全。
麻省理工學院許可證
它是一個具有代表性的開源許可證,只要保留版權聲明,就允許幾乎無限的商業使用、修改和重新分發。極具諷刺意味的是,TeamPCP 這次選擇了這個選項。
CVE/CVSS
CVE 是給定漏洞的通用識別號,CVSS 是以 0 到 10 的範圍表示其嚴重性的分數。任何高於 9.0 的都被歸類為「嚴重」。
[參考連結]
牛安全(外部)
第一個發現並宣布 Shai-Hulud 開源的 AppSec 公司。我們提供一個整合平台。
逆向實驗室(外部)
一家安全研究公司,於2025年9月在全球率先發現Shai-Hulud蠕蟲病毒。主要產品為Spectra Assure。
GitHub(外部)
微軟旗下全球最大的原始碼共享平台。也負責管理 npm 註冊表。
npm(公式)(外部)
JavaScript/TypeScript 的中央包註冊表。它每週處理數十億次下載。
微軟安全(外部)
安全部門繼續透過 Microsoft Defender 提供 Shai-Hulud 偵測和對策指南。
坦史塔克(外部)
一組以React Router等知名的OSS函式庫。 2026年5月,該包被污染。
米斯特拉爾人工智慧(外部)
來自法國的生成式人工智慧新創公司。 TanStack 攻擊鏈中的軟體包受到影響。
UiPath(外部)
引領 RPA 市場的公司。它是 Mini Shai-Hulud 攻擊的目標之一。
PNPM(外部)
快速且節省磁碟的套件管理器。我們提前實現了消費者側防禦功能。
紗(外部)
來自 Meta 的 npm 替代套件管理器。從 Berry 開始,預設會阻止腳本執行。
好的(外部)
快速的 JavaScript 執行時間和套件管理器。它也被 Shai-Hulud 變體所利用。
登記冊(外部)
總部位於英國的 IT 專業媒體,成立於 1994 年。安全報道備受信賴。
經濟產業省《SBOM介紹指南ver2.0》公開頁面(外部)
日本政府的官方 SBOM 指南發布頁面。這是國內供應鏈措施的基礎。
[參考文章]
Shai-Hulud 開源:惡意軟體創建者將自己的程式碼洩漏到 GitHub(Ox Security)(外部)
TeamPCP 發現開源的主要資訊。它詳細說明了提交日期的偽造以及三個相關帳戶的存在。
新的 Shai-hulud 蠕蟲病毒傳播:需要了解什麼(ReversingLabs)(外部)
最詳細的Shai-Hulud 2.0規模分析。它記錄了 795 個包裹和 27,000 多個儲存庫的污染情況。
TanStack npm 軟體包受到 Mini Shai-Hulud(Snyk)的關注(外部)
對 2026 年 5 月 11 日 TanStack 攻擊的詳細分析。它報告了 42 個軟體包的污染和每週 1270 萬次下載以及 TeamPCP 的別名。
Shai-Hulud 2.0:偵測、調查和防禦供應鏈攻擊的指南(微軟安全部落格)(外部)
Microsoft 確認 Mini Shai-Hulud 於 2026 年 5 月 11 日回歸。揭露了 170 多個 npm 和 2 個 PyPI 軟體包中的 404 版本污染。
Shai-Hulud 蠕蟲攻擊解釋:npm 供應鏈漏洞內部(Mirrorfolio)(外部)
本文預測,供應鏈攻擊造成的損失將在 2025 年增加至 600 億美元,到 2031 年將增加至 1,380 億美元。
Mini Shai-Hulud 蠕蟲危害 TanStack、Mistral AI、Guardrails AI 及更多軟體包(駭客新聞)(外部)
本文闡明了 dead man switch 的規範以及撤銷令牌時執行 rm -rf ~/` 的設計。
[編者後記]
我們每天npm install除了這個命令之外,來自世界各地的未知維護者的善意也堆積起來。這次事件就是利用了這條信任鏈的事件。在攻擊者充分利用人工智慧和開源文化的時代,每個開發人員和我們每個使用服務的人應該將什麼視為“正常”,並質疑什麼被視為“正常”?
您使用什麼標準來為您的專案選擇依賴函式庫?請隨時與當地開發商討論此問題。