2026 年最嚴重的供應鏈攻擊, "Mini Shai-Hulud" 行動,由黑客組織 TeamPCP 發起。截至 5 月中旬,確實已發現超過 170 個 npm 和 PyPI 開源套件、總計逾 400 個惡意版本淪陷。機密竊取的具體範疇 該惡意程式使用高性能的 Bun runtime 執行,會廣泛搜刮本機與雲端環境內超過 100 個特定路徑的敏感憑證,目標包含: 雲端身分憑證: AWS IMDSv2、GCP、Azure 的雲端帳戶金鑰。 開發與容器管理: Kubernetes service accounts 憑證、HashiCorp Vault tokens、.yarnrc。 本地機密: 本機 SSH Keys(如 ~/.ssh/known_hosts)、Terraform 憑證、甚至是本地加密貨幣錢包(如 ~/.zcash/wallet.dat)。
惡意程式 Mini Shai-Hulud 供應鏈攻擊全網擴散:170+ 套件淪陷,OpenAI 員工裝置也遭入侵
來自《電腦王阿達》的報導內容高度準確。文中提及的攻擊時間線、受災範圍、技術細節(如 CVE-2026-45321)以及 OpenAI 等企業的受駭狀況,皆與 2026 年 5 月中旬國際各大資安機構(如 Akamai、Arctic Wolf、Wiz、ReversingLabs、ThreatLocker)及受害官方發布的威脅情報與事故報告完全吻合。
以下為您針對該報導進行詳細的核實與深度技術補充:
一、 內容核實(Verification)
攻擊規模與受災對象(正確)
核實: 該攻擊被資安界命名為 "Mini Shai-Hulud" 行動,由黑客組織 TeamPCP 發起。截至 5 月中旬,確實已發現超過 170 個 npm 和 PyPI 開源套件、總計逾 400 個惡意版本淪陷。
OpenAI 部分: OpenAI 官方於 5 月 14 日證實,其企業內部環境中確有 2 台員工裝置因涉入 TanStack 供應鏈攻擊而遭入侵。部分內部原始碼儲存庫的憑證被竊,導致 iOS、macOS 和 Windows 產品的程式簽章憑證(Code-signing certificates)遭到破壞。OpenAI 隨後撤銷舊憑證並發布新版,因此緊急要求 macOS 的 ChatGPT 桌面版、Codex 等用戶必須強制更新。
其他企業: 法國 AI 獨角獸 Mistral AI 亦發表聲明,證實其 1 台開發者裝置受駭,導致其官方的 npm 和 PyPI SDK 被植入木馬。
三道漏洞鏈與 CI/CD 毒化(正確)
核實: 攻擊者確實利用了 TanStack 儲存庫中
pull_request_target的工作流程缺陷。黑客利用惡意 Fork 專案發起 PR(被社群稱為 "Pwn Request"),將 1.1 GB 的惡意pnpm store寫入 GitHub Actions 的共享快取(Cache)。當合法的維護者合併代碼並觸發正式發布流程時,CI/CD 環境便載入了被毒化的快取,進而遭黑客竊取 GitHub OIDC Token,發布了帶有合法 SLSA Level 3 認證的惡意套件。
開發工具 Hook 與 Dead Man's Switch(正確)
核實: 該惡意程式高度針對 AI 開發時代的工具鏈。它確實會在
.claude/settings.json(或生成.claude/setup.mjs)與.vscode/tasks.json中寫入自動執行腳本。由於這些目錄通常被列在.gitignore中,開發者極難察覺。且內建了毀滅性的「死人開關(Dead Man's Switch)」,一旦黑客發現其竊取的 Token 被用戶撤銷,便會觸發刪除使用者家目錄等破壞性行為。
二、 技術情報補充(Supplements)
為了讓您更全面理解這場 2026 年最嚴重的供應鏈攻擊,以下補充幾點技術細節:
1. 跨生態系的「自我複製蠕蟲」與偽裝機制
Mini Shai-Hulud 不僅僅是憑證竊取程式,它具備完全自動化的蠕蟲(Worm)特性:
內部核心程式碼一經執行,會自動枚舉受害者所擁有的所有專案與發布權限。
它會自動修改專案代碼、注入惡意 preinstall 腳本並重新發布。
為了瞞天過海,它在執行 Git 自動提交(Commit)時,會刻意冒充 Anthropic Claude 機器人的官方身分(
claude <claude@users.noreply.github.com>),讓維護者誤以為是合法的 AI 代碼優化或自動更新。
2. 機密竊取的具體範疇
該惡意程式使用高性能的 Bun runtime 執行,會廣泛搜刮本機與雲端環境內超過 100 個特定路徑的敏感憑證,目標包含:
雲端身分憑證: AWS IMDSv2、GCP、Azure 的雲端帳戶金鑰。
開發與容器管理: Kubernetes service accounts 憑證、HashiCorp Vault tokens、
.yarnrc。本地機密: 本機 SSH Keys(如
~/.ssh/known_hosts)、Terraform 憑證、甚至是本地加密貨幣錢包(如~/.zcash/wallet.dat)。
3. 獨特的《沙丘》主題外洩管道
為了將竊取到的敏感資料傳回,TeamPCP 採用了非常獨特的備份外洩管道。除了傳統的 C2 伺服器(主要集中於 83.142.209.0/24 網段),他們還會將加密後的機密 JSON 檔案,自動提交到由黑客控制的 GitHub 公開儲存庫中。這些儲存庫皆以經典科幻小說《沙丘》(Dune)中的專有名詞命名(例如:kralizec-phibian-314),並在儲存庫描述中寫著諷刺的 "A Mini Shai-Hulud has Appeared"(一隻小沙蟲出現了)。
4. 組織背景與歷史脈絡
TeamPCP 的攻擊並非憑空出現,這是一場持續演進的 Campaign:
2025 年 9 月: 第一代 Shai-Hulud 蠕蟲首次現蹤,當時功能較單純,僅透過竊取 npm publish token 進行鏈式擴散。
2026 年 3 月: 該組織利用相同的 CI/CD 快取毒化手法,成功入侵了開源安全掃描工具 Trivy 以及電信服務商 Telnyx。
2026 年 4 月底: 發動針對 SAP 相關開發者套件 的精準打擊。
2026 年 5 月: 演進為如今加入 AI 工具鏈持久化、死人開關、以及 Bun runtime 隱匿技術的 "Mini" 升級版,並造成全網大流行。
5. 官方機構的介入
由於此事件嚴重衝擊 DevOps 全球生態鏈,除了各家民間資安公司外,英國國家醫療服務體系(NHS) 的網路安全部門也已正式對此事件發布了代號為 CC-4781 的國家級網路安全警報,要求所有醫療與政府相關的開發團隊立即清查與盤點防禦措施。
總結防禦建議
如報導所述,單純執行 npm uninstall 或刪除 node_modules 已經無法清除此惡意軟體。開發團隊必須手動檢查個人電腦、CI/CD 伺服器中的 .vscode/tasks.json 與 .claude/ 隱藏目錄。若確認曾下載過受影響版本,應將該環境視為完全淪陷,必須強制輪替(Rotate)所有雲端、GitHub 及本地的所有密鑰與 Token。
留言
張貼留言