立即保护您的企业：针对 Shai-Hulud 蠕虫与 npm 漏洞的 6 个可执行步骤

📌 One-Sentence Summary

深度分析 Mini Shai-Hulud 蠕虫攻击，该蠕虫通过有效来源证明入侵了 172 个 npm 和 PyPI 包，详细介绍了杀伤链、对 AI 智能体配置的针对性攻击，以及面向企业防御者的 6 步可执行审计计划。

📝 Summary

本文对 Mini Shai-Hulud 供应链攻击进行了全面的技术分析。该攻击利用有效的 SLSA Build Level 3 来源证明，入侵了 172 个 npm 和 PyPI 包（包括 TanStack 和 Mistral AI）。该蠕虫利用了三个连锁漏洞：执行 fork 代码的 pull_request_target 工作流、GitHub Actions 缓存投毒，以及从运行进程内存中提取 OIDC 令牌。它从超过 100 个文件路径中窃取凭证，包括 AI 智能体配置（Claude Code、VS Code），并安装了在包卸载后依然存活的持久化钩子。文章包含对 Endor Labs 研究员 Peyton Kennedy 的独家专访、一个详细的 CI/CD 信任链审计网格（识别出 6 个关键缺口），以及一个优先级排序的安全主管行动计划，涵盖即时响应、每周轮换、每月审计和季度董事会级建议。该蠕虫的代码已被开源，对所有配置不当的 CI/CD 管道构成了升级威胁。

💡 Main Points

1. Mini Shai-Hulud 蠕虫使用有效的 SLSA Build Level 3 来源证明入侵了 172 个包，证明仅靠来源证明是不够的。 所有恶意包都携带了真实的来源证明。攻击利用的是 OIDC 作用域配置缺陷，而非签名漏洞。来源证明仅能说明包在何处构建，无法说明构建是否被授权。
2. 该蠕虫将 AI 编码智能体配置视为高价值凭证存储库进行攻击，标志着供应链恶意软件的演进。 持久化钩子被写入 .claude/settings.json 和 .vscode/tasks.json，每次打开项目时都会重新执行。蠕虫会窃取 MCP 服务器认证令牌，将 AI 智能体视为可信执行环境的一部分。
3. 一个破坏性守护进程会在令牌撤销时触发，要求在轮换凭证前进行取证隔离。 蠕虫安装了一个系统守护进程，每 60 秒轮询一次 GitHub。检测到令牌撤销时，它会执行 rm -rf ~/。npm 令牌描述中明确警告了此行为。
4. 攻击链利用了三个漏洞：pull_request_target 代码执行、缓存投毒和 OIDC 令牌提取。 攻击者 fork 了一个仓库，触发了 pull_request_target 工作流，投毒了 GitHub Actions 缓存，并从运行进程内存中提取 OIDC 令牌，直接发布到 npm。

💬 Key Quotes

• TanStack 在纸面上拥有正确的设置：OIDC 可信发布、签名来源证明、每个维护者账户的 2FA。但攻击仍然成功了。
• 孤立提交技术表明，OIDC 作用域才是这里真正重要的控制手段，而不是来源证明，也不是 2FA。
• 攻击者将 AI 编码智能体视为可信执行环境的一部分，事实也确实如此。这些工具会读取你的仓库、运行 shell 命令，并拥有与开发者相同的秘密访问权限。
• 来源证明告诉你一个包是在哪里构建的。它无法告诉你这个构建是否被授权。
• 每个漏洞都跨越了其他漏洞所假设的信任边界。

📊 Article Meta

Read Full Article