TeamPCP 利用蠕蟲 Mini Shai-Hulud 滲透逾 400 個 NPM 與 PyPI 套件

攻擊事件概述

本週，知名網頁應用程式框架 TanStack 的 NPM 套件以及 Mistral AI 的 PyPI 套件遭遇供應鏈攻擊。資安公司 StepSecurity 揭露，此次攻擊疑似由駭客團體 TeamPCP 發起，他們利用自製的蠕蟲程式「Mini Shai-Hulud」滲透並汙染了多個軟體套件發布流程。

攻擊手法與細節

駭客團隊 TeamPCP 透過挾持 GitHub 的 OIDC（OpenID Connect）權杖（token），劫持了開發者的持續整合與持續部署（CI/CD）流程。他們利用這些被劫持的權限，在官方發布管道中上架了夾帶惡意程式碼的新版套件。

此次攻擊不僅針對 TanStack，還波及了 Mistral AI 與 UiPath 等公司的套件。根據 HackRead 與 The Hacker News 的報導，TeamPCP 利用 Mini Shai-Hulud 蠕蟲，成功汙染了超過 400 個 NPM 與 PyPI 套件，其中包括具有千萬級周下載量的熱門包。

影響與風險

Mini Shai-Hulud 蠕蟲的主要功能是竊取開發者憑證與雲端服務的秘密資訊（如 API Keys），並透過受汙染的套件在開發者的環境中自我複製與傳播。這種供應鏈攻擊方式使得攻擊者能夠在開發者不知不覺的情況下，將惡意程式碼引入其專案，進而竊取敏感資料或進行後續攻擊。

多家資安公司指出，這是 TeamPCP 近期一系列供應鏈攻擊活動的一部分，顯示駭客正持續針對軟體生態系統的脆弱性進行攻勢。