Edgen Crypto·Nov 24 2025, 12:35一個名為「Shai-Hulud」的自我複製惡意軟體蠕蟲已滲透到NPM註冊表,破壞了500多個軟體套件,其中包括一些用於加密貨幣應用程式的軟體套件。此次攻擊對整個軟體開發領域的憑證和數位資產盜竊構成了重大風險。
一場複雜的、自我複製的供應鏈攻擊已經損害了全球最大的軟體註冊表Node Package Manager (NPM) 生態系統的完整性。一個被安全研究人員命名為Shai-Hulud的蠕蟲已被發現感染了500多個不同的NPM軟體套件,其中包括加密貨幣項目和**以太坊名稱服務 (ENS)**不可或缺的庫。主要載荷是竊取憑證的惡意軟體,這造成了重大的安全漏洞,並對開發人員和組織造成直接的財務損失威脅。
此次攻擊以自我傳播蠕蟲的形式進行。其最初的入口點被認為是受損的NPM開發者帳戶,這是2025年8月下旬s1ngularity/Nx洩露的下游效應,其中最初的GitHub令牌盜竊促成了更廣泛的洩露鏈。
該蠕蟲透過自動化過程運行:一旦感染開發者的環境,它就會竊取NPM和GitHub存取令牌。然後,它使用這些憑證存取被洩露維護者擁有的所有其他軟體套件。對於每個軟體套件,惡意軟體會檢索軟體套件tarball,修改package.json文件,嵌入惡意本地腳本(bundle.js),重新組裝存檔,並將新被木馬化的版本重新發佈到NPM註冊表。這種自動化傳播使其能夠迅速感染數百個軟體套件。
Shai-Hulud蠕蟲的直接財務威脅在於其作為一種強大的資訊竊取工具的功能。該惡意軟體旨在掃描受感染的開發者環境以獲取敏感資料。其主要目標包括GitHub和NPM等服務的身份驗證令牌,這些令牌本質上是軟體儲存庫和分發渠道的密鑰。
對於金融和Web3領域來說,至關重要的是,該惡意軟體明確設計用於定位和竊取加密貨幣錢包的私鑰。如果受感染機器的開發者在其環境中儲存了錢包密鑰,惡意軟體可以竊取它們,從而使攻擊者直接控制任何相關的數位資產。這使得威脅超越了聲譽損害,直接導致不可逆轉的財務損失。
此次攻擊在開源和加密貨幣社區引發了看跌情緒,削弱了對軟體供應鏈安全性的信任。對於依賴NPM進行JavaScript依賴項的公司而言,此事件需要立即進行代價高昂的安全審計,以識別和補救暴露。生產環境中存在像@ctrl/tinycolor或與CrowdStrike相關的庫等受損軟體套件的可能性可能導致嚴重的安全漏洞和聲譽損害。
對加密生態系統的影響尤其嚴重。與ENS和其他加密功能相關的庫受到損害,這表明存在直接的威脅向量。錢包密鑰被廣泛盜竊的可能性可能會損害受影響項目的信心以及去中心化應用程式的整體安全性。
安全公司對此次攻擊的嚴重性和機制基本達成共識。Wiz Research評估認為,此次活動“直接是2025年8月下旬s1ngularity/Nx洩露的下游影響”,將最初的GitHub令牌盜竊與此次大規模軟體套件投毒事件聯繫起來。其他網路安全實體,包括Palo Alto Networks Unit 42和StepSecurity,也分享了這一評估,它們都分析了該蠕蟲的自我複製性質。
安全提供商Socket一直在積極跟踪傳播情況,並發布了受影響軟體套件的列表,以幫助開發人員識別漏洞。這些公司協調一致的分析強調了威脅的複雜性和自動化性質,並證實了其作為數據竊取操作的主要功能。
Shai-Hulud蠕蟲代表了軟體供應鏈攻擊的重大升級。雖然此類攻擊並非新鮮事,但蠕蟲在開發人員的整個軟體套件組合中自我傳播的能力標誌著一個危險的演變。它將單一故障點——被盜的開發人員令牌——轉化為級聯的、生態系統範圍的安全事件。
此次事件敲響了警鐘,凸顯了現代依賴性軟體開發中固有的系統性風險。它重新強調了對強大安全實踐的緊迫性,例如輪換存取令牌、實施更嚴格的存取控制以及利用工具來驗證外部軟體套件的完整性。此事件已促使包括美國網路安全和基礎設施安全局 (CISA) 在內的政府機構發出警報,表明對關鍵基礎設施的威脅的嚴重性。