NPM供應鏈蠕蟲Shai Hulud新變種現身

概述

資安業者 Aikido Security 在 NPM 生態中發現套件 @vietmoney/react-big-calendar，偵測到疑似 Shai Hulud 第三個變種的首起樣本。目前尚未出現廣泛擴散或大量受害跡象，似乎仍處於公開套件庫測試投放惡意載荷的階段。

技術特徵與手法要點

此變種延續 Shai Hulud 的自傳性蠕蟲行為路徑，透過被植入的 NPM 套件在使用者安裝流程中執行，會蒐集環境變數與金鑰等敏感資訊，並嘗試將資料外洩至 GitHub 等位置。

影響與時效

目前尚未出現明顯擴散與大量受害跡象，傳播範圍可能僅限於測試階段，對開發環境與自動建置流程有風險。

來源：https://www.ithome.com.tw/news/173123