大規模蟲式攻擊襲擊NPM，危及加密貨幣錢包憑證

一種快速傳播的供應鏈攻擊被稱爲 Shai-Hulud，已感染數百個 npm 包，並暴露了敏感的開發者憑證，包括 GitHub 令牌、雲密鑰和加密錢包數據。該活動始於 2025 年 9 月中旬，並迅速升級，因爲該蠕蟲在維護者帳戶和廣泛使用的 JavaScript 庫之間傳播。

沙伊-胡魯德蟲是如何傳播的

安全機構報告稱，攻擊者首先通過網絡釣魚方式侵入維護者帳號，然後上傳經過修改的合法軟件包版本。一旦開發者安裝了這些版本之一，一個名爲 bundle.js 的惡意腳本將在 macOS 或 Linux 系統上運行。

該蟲子使用開源工具TruffleHog掃描機器和CI管道以尋找機密。它搜索的項目包括：

• GitHub 個人訪問令牌
• npm 發布令牌
• AWS、GCP 和 Azure 雲密鑰
• 錢包密鑰和加密開發憑證

如果它找到有效的npm令牌，它會立即更新並重新發布同一維護者擁有的其他軟件包。這種行爲使惡意軟件能夠在生態系統中快速復制。

持久性和數據暴露

研究人員發現，該蠕蟲試圖通過在受害者的代碼庫中創建 GitHub Actions 工作流來保持活躍。它還將被盜的憑據和私人代碼庫數據上傳到標記爲 Shai-Hulud 的新的公共 GitHub 代碼庫中。一些受影響的庫每週接收數十億次下載，這引發了對曝光範圍的嚴重擔憂。

盡管沒有確認的案例顯示以太坊域名服務或流行的web3庫直接感染，但風險仍然很高。之前在npm和PyPI中的攻擊特別針對加密工具，因此從事錢包、智能合約或web3應用的開發者應保持警惕。

爲什麼加密項目面臨更高的風險

開發者通常在CI/CD系統、容器和生產環境中依賴npm包。因此，單個被攻擊的依賴項可能會影響整個區塊鏈工作流程。攻擊者可能會攔截錢包操作、捕獲助記詞或讀取與智能合約管理相關的部署密鑰。

開發者現在應該做什麼

專家敦促團隊立即採取行動：

• 在2025年9月16日之前審計所有使用的依賴項
• 固定安全包版本
• 輪換每個開發者憑證，包括 GitHub、npm、SSH 和雲令牌
• 在所有帳號上啓用抗釣魚的多因素認證

沙赫魯德事件突顯了開源安全的重大轉變。自主供應鏈蠕蟲不再是理論上的問題。生態系統現在需要更嚴格的依賴檢查、更好的工具和對維護者的更嚴格權限。