慢霧：各項目方需警惕NPM供應鏈攻擊最新變種Shai-Hulud3.0

概述

PANews 12月29日消息，慢霧科技首席信息安全官23pds發布安全預警，NPM供應鏈攻擊的最新變種「Shai-Hulud3.0」再次來襲，請各項目方和平台注意防範。此前懷疑 Trust Wallet API key 洩露可能為 Shai-Hulud 2.0 攻擊造成。

最新變種與影響

Shai-Hulud 是一系列針對 NPM 生態的自傳播蠕蟲式供應鏈攻擊，用於竊取開發者憑證、雲密鑰與環境秘密。最新變種（社群稱為 Shai-Hulud 3.0 或新 strain）於 2025 年 12 月 28 日被 Aikido Security 研究員 Charlie Eriksen 發現，目前傳播範圍有限，可能僅為測試階段。

背景與來源

此報導根據 PANews 的安全預警，以及相關安全研究。

來源：https://www.panewslab.com/zh/articles/210b4f4f-e0fa-444d-883e-00680feca429