搜索
微软删除Shai-Hulud蠕虫病毒开源库 相关账号也被封禁无法再发布内容
8 小时前
2026年5月13日消息,黑客团队TeamPCP针对NPM生态系统发起供应链攻击,开源发布名为Shai-Hulud的蠕虫病毒。该病毒通过篡改知名开源项目的CI/CD流水线,在官方维护的包中植入窃取凭证的恶意代码。攻击者利用GitHub Actions OIDC信任链漏洞,以合法身份发布带有SLSA 3级安全签名的恶意包,成功绕过供应链安全检测工具。此次攻击导致62个官方包、404个恶意版本被植入蠕虫,仅@tanstack/react-router单周下载量就超1200万次,全球受影响项目数量保守估计超百万个,覆盖个人开发者到世界500强企业。蠕虫病毒具备自我复制和持续扩散能力,通过窃取AWS/GCP/GitHub/SSH等凭证实现横向传播,并在用户系统中安装持久化守护进程。截至5月12日,npm和PyPI已下架所有确认的恶意版本,但部分地区镜像站可能仍存在缓存。
