紧急预警:开源生态遭遇迷你沙虫”(MiniShai-Hulud)蠕虫大规模投毒,数百万开发者受影响!

admin
admin
admin
0
文章
0
评论
2026-05-23 04:57:05 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 开源生态爆发名为迷你沙虫的恶意蠕虫攻击,攻击者通过入侵npm维护者账号对AntV、Echarts-for-react等高频组件进行供应链投毒。恶意代码通过postinstall钩子自动执行,窃取GitHubToken、NPMToken等高价值凭证并自我复制。建议立即排查依赖、轮换所有密钥,并建立最小发布年龄策略与多因素认证防御机制。 综合评分: 85 文章分类: 供应链安全,恶意软件,漏洞预警,安全运营,WEB安全

cover_image

紧急预警:开源生态遭遇迷你沙虫”(Mini Shai-Hulud)蠕虫大规模投毒,数百万开发者受影响!

原创

kelvin kelvin

Mimi is Cat

2026年5月20日 10:49 广东

在小说阅读器读本章

去阅读

1

事件原因

5月19日,开源社区再次拉响警报!一个名为“迷你沙虫”(Mini Shai-Hulud)的恶意代码蠕虫在 npm 生态中爆发,包括阿里巴巴 AntV、Echarts-for-react 等高频组件惨遭“投毒”。这不仅是一次简单的供应链攻击,更是一场针对开发者凭证的“大清洗”。你的电脑安全吗? 目前已检测到攻击

寻找 GitHub Token、NPM Token、AWS 密钥 等高价值凭证

2

什么是“迷你沙虫”

据最新的安全情报,一个名为 “迷你沙虫”(Mini Shai-Hulud) 的代码蠕虫正在开源代码库中疯狂蔓延。

这个名字听起来很科幻(致敬《沙丘》中的巨型沙虫),但它的破坏力同样惊人。攻击者通过入侵一个名为 atool 的普通开发者账号,获取了发布权限,随后对数百个高频使用的 npm 包进行了恶意代码植入。

受害者名单触目惊心:

阿里巴巴 AntV 数据可视化套件: 数百个相关包被植入恶意代码。

Echarts-for-react: 每周下载量高达 110万次 的热门工具。

其他工具: timeago.js 等常用前端库也未能幸免。

目前,这些受感染的包已被安全系统标记为恶意软件,其供应链安全评分直接归零。

3

攻击原理:不仅仅是“投毒”

这并非一次简单的账号被盗事件,而是一场精心设计的 供应链攻击。

账号失守: 攻击者首先攻陷了维护者 atool 的账号权限。

植入蠕虫: 在合法的开源包中注入恶意代码。

自动执行: 当你执行 npm install 安装这些包时,恶意脚本会通过 postinstall 钩子自动在你的电脑上运行。

窃取凭证: 蠕虫会利用合法的密钥查找工具(如 TruffleHog),扫描你本地的文件系统、环境变量,寻找 GitHub Token、NPM Token、AWS 密钥 等高价值凭证。

自我复制: 最可怕的是,一旦获取了你的发布权限,它会利用你的身份去感染你维护的其他项目,形成“级联式”传播。

4

如何自救

1. 立即排查与清理

检查依赖: 查看项目中是否使用了 antv、echarts-for-react 等受影响包的恶意版本。

清理缓存: 删除 node_modules 文件夹和 lockfile,运行 npm ci –ignore-scripts 重新安装,避免恶意脚本再次触发。

检查持久化文件: 查看项目中是否有异常的 .claude/settings.json、.vscode/tasks.json 或被篡改的 GitHub Actions 工作流文件(如 shai-hulud-workflow.yml)。

2. 全面轮换密钥(至关重要!)

不要抱有侥幸心理!如果恶意版本曾在你的环境中运行过,必须假设你的所有凭证已泄露。

立即作废并重新生成: GitHub Personal Access Tokens (PAT)、NPM Tokens、AWS/阿里云 Access Keys、SSH 私钥、数据库密码等。

检查 GitHub 仓库: 攻击者可能会在你的 GitHub 账户下创建名为 “Shai-Hulud” 的公开仓库来泄露数据,请立即检查并删除。

3. 建立防御机制

设置“年龄”策略: 不要安装发布不到 24 小时的“太新”的包。可以在 npm 配置中设置 min-release-age,给安全社区留出反应时间。

使用安全工具: 推荐使用 Aikido Safe Chain、Socket.dev 等工具来扫描依赖包的安全性。

开启多因素认证 (MFA): 确保你的 npm 和 GitHub 账号都开启了强 MFA 保护。

写在最后: 开源生态的便利性让我们习惯了 npm install 一键搞定,但“迷你沙虫”再次提醒我们:信任,但必须验证。 这一次是 AntV,下一次会是谁?保持警惕,保护好自己的密钥,就是保护整个开源世界。

参考 https://cybersecuritytimes.com/mini-shai-hulud-npm-antv/

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Mimi is Cat kelvin kelvin《紧急预警:开源生态遭遇迷你沙虫”(Mini Shai-Hulud)蠕虫大规模投毒,数百万开发者受影响!》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0