Edgen Crypto·Nov 24 2025, 12:35一个名为“Shai-Hulud”的自复制恶意软件蠕虫已渗透到NPM注册表,破坏了500多个软件包,其中包括一些用于加密货币应用程序的软件包。此次攻击对整个软件开发领域的凭证和数字资产盗窃构成了重大风险。
一场复杂的、自我复制的供应链攻击已经损害了全球最大的软件注册表Node Package Manager (NPM) 生态系统的完整性。一个被安全研究人员命名为Shai-Hulud的蠕虫已被发现感染了500多个不同的NPM软件包,其中包括加密货币项目和**以太坊名称服务 (ENS)**不可或缺的库。主要载荷是窃取凭证的恶意软件,这造成了重大的安全漏洞,并对开发人员和组织造成直接的财务损失威胁。
此次攻击以自我传播蠕虫的形式进行。其最初的入口点被认为是受损的NPM开发者账户,这是2025年8月下旬s1ngularity/Nx泄露的下游效应,其中最初的GitHub令牌盗窃促成了更广泛的泄露链。
该蠕虫通过自动化过程运行:一旦感染开发者的环境,它就会窃取NPM和GitHub访问令牌。然后,它使用这些凭证访问被泄露维护者拥有的所有其他软件包。对于每个软件包,恶意软件会检索软件包tarball,修改package.json文件,嵌入恶意本地脚本(bundle.js),重新组装存档,并将新被木马化的版本重新发布到NPM注册表。这种自动化传播使其能够迅速感染数百个软件包。
Shai-Hulud蠕虫的直接财务威胁在于其作为一种强大的信息窃取工具的功能。该恶意软件旨在扫描受感染的开发者环境以获取敏感数据。其主要目标包括GitHub和NPM等服务的身份验证令牌,这些令牌本质上是软件存储库和分发渠道的密钥。
对于金融和Web3领域来说,至关重要的是,该恶意软件明确设计用于定位和窃取加密货币钱包的私钥。如果受感染机器的开发者在其环境中存储了钱包密钥,恶意软件可以窃取它们,从而使攻击者直接控制任何相关的数字资产。这使得威胁超越了声誉损害,直接导致不可逆转的财务损失。
此次攻击在开源和加密货币社区引发了看跌情绪,削弱了对软件供应链安全性的信任。对于依赖NPM进行JavaScript依赖项的公司而言,此事件需要立即进行代价高昂的安全审计,以识别和补救暴露。生产环境中存在像@ctrl/tinycolor或与CrowdStrike相关的库等受损软件包的可能性可能导致严重的安全漏洞和声誉损害。
对加密生态系统的影响尤其严重。与ENS和其他加密功能相关的库受到损害,这表明存在直接的威胁向量。钱包密钥被广泛盗窃的可能性可能会损害受影响项目的信心以及去中心化应用程序的整体安全性。
安全公司对此次攻击的严重性和机制基本达成共识。Wiz Research评估认为,此次活动“直接是2025年8月下旬s1ngularity/Nx泄露的下游影响”,将最初的GitHub令牌盗窃与此次大规模软件包投毒事件联系起来。其他网络安全实体,包括Palo Alto Networks Unit 42和StepSecurity,也分享了这一评估,它们都分析了该蠕虫的自我复制性质。
安全提供商Socket一直在积极跟踪传播情况,并发布了受影响软件包的列表,以帮助开发人员识别漏洞。这些公司协调一致的分析强调了威胁的复杂性和自动化性质,并证实了其作为数据窃取操作的主要功能。
Shai-Hulud蠕虫代表了软件供应链攻击的重大升级。虽然此类攻击并非新鲜事,但蠕虫在开发人员的整个软件包组合中自我传播的能力标志着一个危险的演变。它将单一故障点——被盗的开发人员令牌——转化为级联的、生态系统范围的安全事件。
此次事件敲响了警钟,凸显了现代依赖性软件开发中固有的系统性风险。它重新强调了对强大安全实践的紧迫性,例如轮换访问令牌、实施更严格的访问控制以及利用工具来验证外部软件包的完整性。此事件已促使包括美国网络安全和基础设施安全局 (CISA) 在内的政府机构发出警报,表明对关键基础设施的威胁的严重性。