大规模虫式攻击袭击NPM，危及加密货币钱包凭证

一种快速传播的供应链攻击被称为 Shai-Hulud，已感染数百个 npm 包，并暴露了敏感的开发者凭证，包括 GitHub 令牌、云密钥和加密钱包数据。该活动始于 2025 年 9 月中旬，并迅速升级，因为该蠕虫在维护者账户和广泛使用的 JavaScript 库之间传播。

沙伊-胡鲁德虫是如何传播的

安全机构报告称，攻击者首先通过网络钓鱼方式侵入维护者账号，然后上传经过修改的合法软件包版本。一旦开发者安装了这些版本之一，一个名为 bundle.js 的恶意脚本将在 macOS 或 Linux 系统上运行。

该虫子使用开源工具TruffleHog扫描机器和CI管道以寻找机密。它搜索的项目包括：

• GitHub 个人访问令牌
• npm 发布令牌
• AWS、GCP 和 Azure 云密钥
• 钱包密钥和加密开发凭证

如果它找到有效的npm令牌，它会立即更新并重新发布同一维护者拥有的其他软件包。这种行为使恶意软件能够在生态系统中快速复制。

持久性和数据暴露

研究人员发现，该蠕虫试图通过在受害者的代码库中创建 GitHub Actions 工作流来保持活跃。它还将被盗的凭据和私人代码库数据上传到标记为 Shai-Hulud 的新的公共 GitHub 代码库中。一些受影响的库每周接收数十亿次下载，这引发了对曝光范围的严重担忧。

尽管没有确认的案例显示以太坊域名服务或流行的web3库直接感染，但风险仍然很高。之前在npm和PyPI中的攻击特别针对加密工具，因此从事钱包、智能合约或web3应用的开发者应保持警惕。

为什么加密项目面临更高的风险

开发者通常在CI/CD系统、容器和生产环境中依赖npm包。因此，单个被攻击的依赖项可能会影响整个区块链工作流程。攻击者可能会拦截钱包操作、捕获助记词或读取与智能合约管理相关的部署密钥。

开发者现在应该做什么

专家敦促团队立即采取行动：

• 在2025年9月16日之前审计所有使用的依赖项
• 固定安全包版本
• 轮换每个开发者凭证，包括 GitHub、npm、SSH 和云令牌
• 在所有账号上启用抗钓鱼的多因素认证

沙赫鲁德事件突显了开源安全的重大转变。自主供应链蠕虫不再是理论上的问题。生态系统现在需要更严格的依赖检查、更好的工具和对维护者的更严格权限。