答案已發布16 來源
Mini Shai‑Hulud npm 供應鏈攻擊:22分鐘推送637個惡意版本,開源信任機制被反轉利用
Mini Shai‑Hulud 是一個自我傳播的供應鏈蠕蟲攻擊,透過偷取 CI/CD 憑證同 GitHub Actions OIDC token,發布偽裝成合法更新的 npm 套件。[1][2] 2026年5月19日,一個針對 AntV 生態的攻擊波在約22分鐘內發布 637 個惡意版本,涉及 323 個 npm 套件。[5][7] 由於惡意套件帶有有效的 Sigstore 簽名同 SLSA Build Level 3 provenance,驗證系統仍會將它們視為可信發佈。[1][10]
1.4M0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud npm supply chain attack on May 19, 2026, how were more than 630 malicious package versions published so. Article summary: Mini Shai-Hulud was a fast-moving npm/PyPI supply-chain worm campaign attributed to TeamPCP that abused maintainer access, CI/CD secrets, GitHub Actions OIDC trust, and provenance signing to publish malicious packages th. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# ‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack. A rapidly spreading malware campaign has infected hundreds of software pa" source context "‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack | CyberScoop" Reference imag
開源軟件生態一直建立喺「信任」之上:信任維護者(maintainer)、信任 CI/CD 發佈流程、信任數碼簽名同供應鏈驗證機制。
Mini Shai‑Hulud 攻擊證明,只要其中一個環節被攻破,整條信任鏈都可以被反過來利用。
2026 年 5 月,一個被追蹤為 TeamPCP 的黑客組織發動大型供應鏈攻擊,入侵多個 npm 同 PyPI 套件並發布數百個惡意版本。最引人注目的一波發生喺 2026 年 5 月 19 日:攻擊者據報喺大約 22 分鐘內發布 637 個惡意版本,涉及 323 個 npm 套件,原因係成功入侵一個與 @antv 套件生態相關的 maintainer 帳號。
安全研究員認為,呢次事件係近年最具技術意義的開源供應鏈攻擊之一,因為惡意套件竟然帶有 有效的 build provenance 同簽名證明,令佢哋睇落同正常官方發佈無異。
Mini Shai‑Hulud 攻擊做咗啲乜
Mini Shai‑Hulud 並唔係單一事件,而係一個多階段、持續演化的攻擊行動。
研究指出,喺 2026 年 5 月 10 日至 12 日期間,攻擊者已經入侵 超過 170 個 npm 同 PyPI 套件,橫跨 19 個 namespace,並發布 400 多個惡意版本。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「Mini Shai‑Hulud npm 供應鏈攻擊:22分鐘推送637個惡意版本,開源信任機制被反轉利用」的簡短答案是什麼?
Mini Shai‑Hulud 是一個自我傳播的供應鏈蠕蟲攻擊,透過偷取 CI/CD 憑證同 GitHub Actions OIDC token,發布偽裝成合法更新的 npm 套件。[1][2]
首先要驗證的關鍵點是什麼?
Mini Shai‑Hulud 是一個自我傳播的供應鏈蠕蟲攻擊,透過偷取 CI/CD 憑證同 GitHub Actions OIDC token,發布偽裝成合法更新的 npm 套件。[1][2] 2026年5月19日,一個針對 AntV 生態的攻擊波在約22分鐘內發布 637 個惡意版本,涉及 323 個 npm 套件。[5][7]
接下來在實務上我該做什麼?
由於惡意套件帶有有效的 Sigstore 簽名同 SLSA Build Level 3 provenance,驗證系統仍會將它們視為可信發佈。[1][10]
來源
- snyk.ioMini Shai-Hulud Hits AntV: 300+ Malicious npm Packages ...
- app.daily.devMini Shai-Hulud Hits AntV: 300+ Malicious npm Packages...
- labs.cloudsecurityalliance.org[PDF] Mini Shai-Hulud: When Signed Provenance Certified a Supply ...
- labs.cloudsecurityalliance.orgMini Shai-Hulud: npm Worm Targets AI Developer Supply Chain
- opensourceforu.comHackers Abuse GitHub Actions And SLSA Signing To Spread ...
Loading comments...
Comments
0 comments