警报｜NPM 供应链新威胁 Shai-Hulud 3.0 来袭，项目方需防范

2025-12-29 04:20:09

【币界】慢雾科技安全团队发出重要预警：NPM 供应链攻击的新变种「Shai-Hulud 3.0」已经出现。

这次攻击针对开发工具链发起，项目方和各大交易平台需要立即加强防范措施。据悉，此前 Trust Wallet API 密钥泄露事件，很可能就是由 Shai-Hulud 2.0 版本的攻击导致的。

供应链攻击一次比一次凶险。从 2.0 到 3.0，攻击手法在持续演进。建议各平台和开发团队：排查依赖包、更新密钥、加强代码审计。不要掉以轻心。

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.

12 Curtidas

Recompensa
12
9
Repostar
Compartilhar

Comentário

0/400

GasOptimizer

· 01-01 03:37

Eh, mais uma questão de cadeia de abastecimento, desta vez já chegou ao 3.0? A última vez no Trust Wallet foi realmente um estouro Mais uma rodada de investigação de chaves, os desenvolvedores vão ter que fazer hora extra A cadeia de abastecimento é realmente difícil de controlar, sempre aparecem novidades Se acontecer mais uma rodada, os projetos terão que ficar atentos Ainda no meio da noite, preocupados com os pacotes de dependência, quem aguenta isso?

Ver originalResponder0

AirdropLicker

· 2025-12-31 20:10

Ai, mais uma nova ameaça... Trust Wallet na última vez já foi bastante embaraçoso, e agora chegou à versão 3.0? Como é que esses hackers parecem estar mais atualizados do que nós --- Por que há tantos problemas com o NPM, será que realmente temos que verificar dependências dia após dia com tanto cuidado --- Sempre dizem para reforçar a prevenção, mas quantos projetos realmente levam isso a sério... até serem apanhados de surpresa --- Shai-Hulud de 2.0 para 3.0, esse ritmo é para dominar toda a cadeia de suprimentos, né --- Tem que trocar chaves e auditar código, essa semana vamos ter que fazer horas extras, pessoal --- A cadeia de suprimentos fica mais agressiva a cada vez, parece que nunca há uma segurança absoluta de verdade --- Mas agora temos equipes de segurança como a Slow Fog monitorando, pelo menos é melhor do que o crescimento selvagem de antes --- Ei, por que demorou tanto para reconhecer que o problema do Trust Wallet foi culpa nossa? Difícil de entender

Ver originalResponder0

MevHunter

· 2025-12-30 16:02

Outra versão, esta jogada que mata a cadeia de abastecimento está a tornar-se cada vez mais implacável --- É a Carteira de Confiança que isto está a fazer? Pensando bem, fiquei aterrorizado --- Quem é que ainda faz este tipo de trabalho manualmente, graças às ferramentas de auditoria --- Ainda se pode confiar no NPM, amigos? Não sei o que usar --- A 3.0 está a chegar, e sinto que poucos projetos vão realmente mudar... --- É por isso que não acredito no relatório de auditoria dessas moedas de faisão --- O nevoeiro lento emitiu novamente um aviso precoce, queres acreditar desta vez? --- Tens mesmo de mudar a tonalidade? Quão grande é este movimento --- A cadeia de abastecimento está tão má, o que é que estão a jogar Web3, irmãos

Ver originalResponder0

GasBankrupter

· 2025-12-30 09:16

Voltar? Já saiu a 3.0, temos que fazer uma verificação rápida nesta onda, senão vai ser gg --- A onda do Trust Wallet ainda não passou, agora vem com novidades, realmente não acaba --- Os ataques à cadeia de abastecimento estão ficando cada vez mais severos, é preciso verificar bem os pacotes de dependência, para não ser pego de surpresa --- De 2.0 para 3.0, a velocidade de atualização dos hackers é até mais rápida que a dos projetos haha --- SlowMist emitiu um novo alerta, desta vez com atenção, se for preciso trocar as chaves, faça isso --- Ainda não consertaram a armadilha do NPM, é preciso estar atento --- Cada vez mais severo, cuidado para não cometer grandes erros, é melhor verificar seu código

Ver originalResponder0

NonFungibleDegen

· 2025-12-29 04:49

ngl esta coisa do shai-hulud parece realmente assustadora... trust wallet já a ter sido destruída deixou-me mal, agora 3.0 a caminho? provavelmente nada, mas também... tudo lol

Ver originalResponder0

DeFiDoctor

· 2025-12-29 04:42

De 2.0 para 3.0, essa lógica é tão assustadora quanto a "inovação" de alguns projetos. Aquele episódio do Trust Wallet foi realmente feito por esse cara, o que mostra que nosso processo de auditoria de código está doente. Precisamos revisar regularmente nossas dependências, pois esperar acontecer um problema para investigar já é tarde demais.

Ver originalResponder0

CryptoCrazyGF

· 2025-12-29 04:31

Que droga, mais uma novidade, desta vez diretamente na versão 3.0, as táticas de ataque estão ficando cada vez mais agressivas. --- Foi essa coisa que causou aquele incidente na Trust Wallet? Não é de admirar que tenha causado tanta confusão na altura. --- A cadeia de abastecimento é realmente um campo de batalha, um elo fraco compromete tudo. --- Falam todos os dias para fazer inspeções, mas quantas equipes realmente revisaram o código com seriedade... --- Nestes últimos anos, a Solana sofreu tantos prejuízos, será que aprenderam alguma coisa? É difícil de se proteger. --- Três recomendações parecem simples, mas na prática são uma verdadeira missão impossível. --- Está de enlouquecer, a divulgação da chave secreta é mais nojenta do que perder tokens. --- Ainda bem que eu não criei minha própria cadeia de ferramentas, senão ia explodir. --- De 2 para 3, quando será que sai o 4.0? Os hackers também estão se mobilizando.

Ver originalResponder0

ConfusedWhale

· 2025-12-29 04:30

Mais uma rodada de pesadelo na cadeia de abastecimento, desta vez diretamente na ferramenta de cadeia... Preciso passar rapidamente por todos os pacotes de dependência --- Foi a mesma coisa que fez na última vez a Trust Wallet? Então por que ainda não vimos grandes movimentos desde então --- De 2.0 para 3.0 tão rápido, parece que as atualizações dos hackers são mais frequentes do que as dos projetos --- Mais uma vez, trocar chaves e fazer auditorias, a equipe de desenvolvimento deve estar trabalhando até de madrugada nesses dias --- Difícil de segurar, será que o ecossistema NPM é tão fácil de ser penetrado assim --- Se essa coisa realmente explodir em grande escala, o sistema de controle de risco das exchanges provavelmente precisará ser reescrito --- As equipes dos projetos ainda estão sonolentas, o alerta da SlowMist merece um like --- A cadeia de abastecimento realmente não consegue ser bloqueada, é impossível de prevenir tudo --- Rápido, faça uma revisão de todos os pacotes de dependência do projeto, e jogue fora aqueles que podem ser culpados pelos mantenedores

Ver originalResponder0

BearWhisperGod

· 2025-12-29 04:21

A cadeia de abastecimento voltou a ter problemas, desta vez diretamente para 3.0? Ainda nem nos recuperámos do incidente com a Trust Wallet, os hackers estão mesmo a dar trabalho --- Tem que dar mais atenção ao npm, qualquer pacote de dependência pode causar uma falha, quem ainda se atreve a usar com confiança --- De 2.0 para 3.0 de uma só vez, as iterações de ataque são mais rápidas que as atualizações de produto, é surreal --- Sempre dizem que estão a prevenir, mas nos momentos críticos as grandes plataformas ainda reagem lentamente, desta vez alguém vai levar com uma armadilha --- A história do vazamento de chaves veio a público assim, não admira que tenha causado tanta confusão na altura, que ataque tão agressivo --- Só quero saber quantos pequenos projetos foram afetados desta vez, provavelmente na próxima semana vai haver uma nova onda de falências --- Investigar dependências, atualizar chaves, parece fácil, mas na prática é muito complicado --- Shai-Hulud, só de ouvir o nome já dá uma sensação estranha, será que é mesmo tão perigoso assim --- Os problemas de segurança no Web3 são mesmo uma atrás da outra, quando é que vão ser resolvidos de vez --- A cadeia de abastecimento é sempre a parte mais fácil de ignorar, todos focam nas vulnerabilidades dos contratos, mas acabam sendo apanhados por métodos tão básicos

Ver originalResponder0

Ver projetos