Shai-Hulud：如何了解通过软件管道传播的恶意软件

简而言之

Shai-Hulud 恶意软件已与大约 300 个 npm 和 PyPI 软件包条目相关联。

OpenAI、微软和 Mistral AI 披露了最近与 Shai-Hulud 相关的事件。

该恶意软件滥用了 GitHub Actions 和可信软件发布工作流程。

一种名为“Shai-Hulud”的恶意软件活动正在通过开发人员用来构建和分发代码的软件管道进行传播，引发了人们对现代互联网现在有多少依赖于几乎没有直接人类监督的自动化系统的担忧。

研究人员将 Shai-Hulud 恶意软件活动与 Node Package Manager (NPM) 和 PyPI 中的大约 320 个包条目联系起来，这两个最大的在线存储库是开发人员用来下载和共享 JavaScript 和 Python 软件包的。受影响的软件包每月下载量总计超过 5.18 亿次。

“Shai-Hulud 很重要，因为它暴露了一个我们无法完全解决的问题：现代软件是通过运行其他人的代码来构建的，”加利福尼亚州安全公司 Contrast Security 的首席技术官 Jeff Williams 告诉 Decrypt。 “开发人员不仅仅是‘下载’库。他们安装它们，用它们构建，用它们测试，用它们部署，并最终执行它们。如果你运行一个恶意库，它几乎可以做你能做的任何事情。”

威廉姆斯说，人工智能的进步使威胁变得更加复杂，他将 Shai-Hulud 比作让计算机成为双重间谍。

“可怕的部分是杠杆作用。如果攻击者破坏了一个不起眼的软件包，他们不仅仅会得到该软件包，”威廉姆斯说。 “他们获得了进入每个信任它的下游项目的路径。然后他们可以窃取更多代币，发布更多有毒软件包，并重复这个循环。软件供应链不再是一条链，而是一个传播网络，”他补充道。

本月早些时候，微软威胁情报披露，攻击者将恶意代码插入到通过 PyPI 分发的 Mistral AI 软件包中。微软表示，该恶意软件下载了一个额外的文件，旨在类似于 Hugging Face 广泛使用的 Transformers 库，因此它可以融入机器学习开发环境。

米斯特拉尔后来表示，受影响的开发者设备与该事件有关，但补充说“没有迹象表明米斯特拉尔基础设施受到损害”。

两天后，OpenAI 确认与同一活动相关的恶意软件感染了两台员工设备，并使攻击者能够访问有限数量的内部代码存储库。该公司表示，没有发现任何证据表明客户数据、生产系统或知识产权受到损害。

谢胡鲁德来了

该恶意软件以 Frank Herbert 的《沙丘》中的巨型沙虫命名，研究人员将其早期版本追溯到 2025 年 9 月，网络犯罪分子称为 TeamPCP。然而，在 5 月 11 日针对 TanStack（一种广泛用于 Web 和云应用程序的开源 JavaScript 框架）的重大攻击之后，该活动引起了更广泛的关注。

Shai-Hulud 是日益增长的供应链攻击的一部分，在这种攻击中，黑客会破坏其他公司已经使用的可信软件工具或服务。攻击者不是直接针对受害者，而是使用这些受信任的系统来传播恶意代码或获取对开发人员环境的访问权限。

研究人员表示，这些攻击会毒害共享构建缓存，因此未来的软件版本将悄悄引入恶意代码。对于下载这些软件包的开发人员来说，一切看起来都很正常，因为该软件来自受信任的来源，带有有效的签名，并且通过了通常的安全检查。这就是这次袭击如此令人不安的原因。

周日，网络安全公司 OX Security 报告称，模仿原始恶意软件的新恶意软件包已经在窃取云和加密钱包凭证、SSH 密钥和环境变量。与此同时，一些变种试图将受感染的机器变成 DDoS 僵尸网络。

OX Security 写道：“证明这是与 TeamPCP 不同的攻击者的一个罪证是，Shai-Hulud 恶意软件代码几乎是泄露源代码的精确副本，没有任何混淆技术，这使得最终版本在视觉上与原始版本不同。” “在我们的细分中，我们展示了 chalk 模板 Shai-Hulud 版本与原始源代码泄漏的并排比较，表明它们是相同的。”

随着现代软件开发人员越来越依赖 GitHub Actions 等自动化平台，有关 Shai-Hulud 的消息随之而来。与此同时，随着攻击者越来越关注开发人员工具和自动化发布系统，而不是直接关注最终用户系统，针对开源基础设施的供应链攻击变得越来越普遍。

Neth 安全研究总监 Joris Van De Vis 表示：“[Shai-Hulud] 提醒我们，[系统、应用程序和产品] 攻击面现在已经远远超出了传统应用程序层，进入了为现代开发和部署工作流程提供支持的开源软件包。”