深度剖析：當 AI 編碼助理淪為幫兇——瘴氣蠕蟲如何癱瘓微軟 GitHub

事件源頭：紅帽 npm 套件遭供應鏈攻擊

微軟 GitHub 的事件，是一場始於數天前、針對開源軟體供應鏈的攻擊行動的最終章。

2026 年 6 月 1 日，攻擊者利用一個遭盜用的紅帽（Red Hat）員工 GitHub 帳戶，發布了遭植入後門的 32 個 @redhat-cloud-services 官方 npm 套件，影響範圍超過 90 個版本 。微軟威脅情報團隊追溯出，此事件源自上游的 RedHatInsights/javascript-clients 持續整合與持續部署（CI/CD）流程，使攻擊者得以透過看似合法的來源發布特洛伊化的套件 。這些惡意套件帶有混淆過的「預安裝腳本」（preinstall script），一經安裝便會執行一個憑證竊取程式，為後續大規模的「瘴氣」蠕蟲傳播奠定了基礎 。

應變與控制

對於這起攻擊的應變行動迅速且果斷，但此事件所揭示的意義卻非常深遠。

• 立即停用： GitHub 的自動化濫用偵測系統分兩波停用了所有 73 個受感染的儲存庫，立即封鎖公眾存取權限，並顯示「違反服務條款」的通知 。
• 復原與補救： 微軟在 6 月 8 日之前完全復原了所有受影響的儲存庫，並通知了受影響的客戶 。調查中一個關鍵的發現是，攻擊者重複使用了未輪替的 GitHub Actions 密鑰來維持和擴大存取權限，這表示之前的入侵事件並未被徹底清除乾淨 。
• 更深層的根源： 調查顯示，在 6 月 5 日的攻擊中被使用的遭竊憑證，早已在活躍的資訊竊取記錄中留存了 48 天，這凸顯出在蠕蟲啟動之前，存在著一次長期潛伏的入侵行動 。

幕後黑手：沙蟲血統與模仿犯問題

「瘴氣」是 「迷你沙蟲」（Mini Shai-Hulud）蠕蟲框架的直系後代，該框架由被稱為 TeamPCP 的威脅組織所創建 。TeamPCP 在 2026 年 5 月 12 日披露的早期行動中，已入侵超過 170 個 npm 和 PyPI 套件，這些套件的累積下載量超過 5.18 億次，其目標便是 AI 開發者函式庫 。

更棘手的是，TeamPCP 已將 「迷你沙蟲」框架開源 。這意味著任何不特定數量的模仿者，現在都能取得相同的程式碼。雖然攻擊手法和程式碼都強烈指向「瘴氣」具有 TeamPCP 的血統，但多位安全研究人員也警告，這起特定攻擊浪潮也有可能是由任何取得此開源工具包的團體所策劃，因此很難做出明確的歸因 。

給開發者的安全建議

「瘴氣」攻擊從根本上重新定義了安全邊界。如今，單純「開啟」一個程式碼儲存庫已不再是被動、安全的行為。研究人員匯聚了以下幾點關鍵建議：

• 撤銷並輪替所有憑證： 立即輪換所有 GitHub Actions 權杖、雲端供應商憑證、npm 發布權杖，以及任何可能透過 CI/CD 日誌、受感染的儲存庫或資訊竊取記錄而暴露的機密資訊 。
• 強制執行嚴格的多因素驗證（MFA）： 要求所有貢獻者帳戶都必須使用多因素驗證，並優先使用硬體安全金鑰，以防範基於憑證的入侵行為 。
• 清理 AI 工具的信賴邊界： 將不受信任的儲存庫視為未知的二進位檔案。設定 AI 編碼代理（Claude Code、Cursor、Gemini CLI、VS Code），使其不要自動從儲存庫執行或自動讀取設定檔和任務 。
• 強化 CI/CD 流程： 稽核 GitHub Actions 工作流程，限制 Actions 權杖的寫入權限，移除未使用的權杖，並強制使用短時效的憑證 。
• 加強供應鏈衛生： 使用相依性掃描工具，產生軟體物料清單，並在安裝前驗證套件的來源。監控套件是否包含混淆過的預安裝或後安裝腳本 。