【資安日報】4月30日，NPM供應鏈攻擊Mini Shai-Hulud鎖定多款SAP套件

攻擊事件概述

資安公司Aikido、SafeDep、Socket、StepSecurity、Wiz提出警告，最新一波NPM套件供應鏈攻擊活動Mini Shai-Hulud針對SAP而來，該公司多個套件受到影響。

攻擊目標與範圍

攻擊行動鎖定SAP開發與維護的NPM套件，目標是從開發環境與CI/CD管線竊取各式憑證與權杖（Token），影響範圍涵蓋多個SAP相關套件。

相關資訊與來源

• iThome新聞：詳細報導資安公司對Mini Shai-Hulud攻擊的警告。
• Onapsis Blog：指出此攻擊為Shai-Hulud變種，涉及惡意代碼注入至廣泛使用的SAP npm套件。
• Sophos Blog：說明2026年4月29日發現的攻擊活動，涉及被入侵的npm套件版本。

來源：https://www.ithome.com.tw/news/175458