慢霧：某npm蠕蟲病毒通過TanStack等項目傳播，竊取加密錢包和雲密鑰

攻擊概要

一款名為「Mini Shai-Hulud」的高度複雜npm蠕蟲病毒，通過TanStack、UiPath和DraftLab等受信任的開發者項目傳播。攻擊者劫持GitHub憑證，發佈看似合法的惡意包更新，藉此滲透開發環境。

惡意行為與影響範圍

• 注入隱蔽的 router_init.js 腳本，在CI/CD環境中靜默運行。
• 專門竊取CI/CD密鑰、雲端基礎設施密鑰與加密貨幣錢包等敏感資料。
• 利用GitHub基礎設施將竊取的資料外傳，擴大攻擊範圍。

安全建議

SlowMist建議用戶：

• 審計CI/CD管道中是否存在 router_init.js 檔案。
• 輪換所有暴露的憑證。
• 密切監控開發環境，以防止進一步入侵。

相關技術背景

該蠕蟲病毒以自我複製形式出現，隱藏於npm軟體包中，結合了憑證竊取、自動數據外洩與快速傳播等功能，是歷史上最具惡意的供應鏈攻擊之一。

來源：https://www.panewslab.com/zh/articles/019e1b2e-689c-725c-b715-a01b53ad53e1