SlowMist 警告 Shai-Hulud 3.0 供应链攻击已回归

网络安全公司SlowMist发出最新警告。在检测到Shai-Hulud供应链攻击的回归后，现在被标记为3.0版本。该警报来自SlowMist的首席信息安全官Known as 23pds，他敦促Web3团队和平台立即加强防御。根据警告，最新变体针对的是NPM生态系统，这是现代软件开发中广泛使用的包管理器。

此类供应链攻击允许恶意代码通过受信任的开源库传播。开发者往往未能察觉到这一点。因此，即使是较小的感染也可能迅速在多个项目中扩散。SlowMist指出，早期事件包括与Trust Wallet相关的API密钥泄露，可能源自早期的Shai-Hulud版本。恶意软件的再次出现引发担忧，攻击者正在优化和重新部署已验证的技术。

Shai-Hulud 3.0的不同之处

安全研究人员表示，Shai-Hulud 3.0与早期版本相比显示出明显的技术变化。独立研究人员的分析表明，该恶意软件现在使用不同的文件名，还改变了载荷结构，并增强了跨操作系统的兼容性。据报道，新版本删除了之前的“死手开关”，这是一个在特定条件下可以禁用恶意软件的功能。虽然此删除降低了一些风险，但也表明攻击者在简化执行流程以避免检测。

研究人员还观察到，恶意软件似乎是对原始源代码进行混淆处理，而非直接复制。这一细节暗示了对先前攻击材料的访问，并指向更为复杂的威胁行为者。早期的发现显示，目前传播有限，意味着攻击者可能仍在测试载荷。

研究人员调查活跃的NPM包

独立安全研究员Charlie Eriksen确认，他的团队正在积极调查这一新变体。根据公开披露，检测到该恶意软件在某个特定的NPM包中。此事引发了对相关依赖项的深入审查。调查显示，恶意软件试图提取环境变量、云凭证和秘密文件，然后将这些数据上传到攻击者控制的仓库。这些技术与早期的Shai-Hulud攻击一致，但显示出更为精细的序列化和错误处理。目前，研究人员表示尚无大规模被攻陷的证据，但他们警告，一旦攻击者确认稳定性，供应链攻击通常会迅速扩展。

行业被敦促加强依赖安全

SlowMist建议项目团队审查依赖项、锁定包版本并监控异常网络行为。开发者还被鼓励审查构建流程，限制对敏感凭证的访问。该公司强调，供应链威胁仍然是Web3和开源软件中被低估的风险之一。即使是安全措施完善的平台，也可能通过第三方库暴露风险。随着调查的持续，安全专家建议保持警惕而非恐慌。他们一致认为，Shai-Hulud 3.0提醒我们，软件供应链仍然是高价值的攻击目标。