慢霧CISO:NPM供應鏈攻擊最新變種「Shai-Hulud3.0」來襲,請注意防範
事件概述
根據 BlockBeats 的報導,慢霧科技首席信息安全官 23pds 於 2025 年 12 月 29 日發布安全警報,宣布 NPM 供應鏈攻擊的最新變種「Shai-Hulud3.0」再度出現,呼籲各專案方與平臺加強防範;此前懷疑 Trust Wallet API key 洩露可能為 Shai-Hulud 2.0 攻擊的原因之一。
威脅要點與影響
Shai-Hulud 是一系列針對 NPM 生態的自傳播蠕蟲式供應鏈攻擊,用於竊取開發者憑證、雲密鑰和環境秘密。最新變種(社群稱為 Shai-Hulud3.0 或新 strain)於 2025 年 12 月 28 日 被 Aikido Security 研究員 Charlie Eriksen 發現,目前傳播範圍有限,可能僅為測試階段。