一週前9家資安業者不約而同提出警告,Shai-Hulud蠕蟲二度現身NPM套件儲存庫,3天內上傳逾1千個套件,感染2.7萬個GitHub儲存庫,災情也蔓延到Maven Central,他們將這起事故稱為Shai-Hulud 2.0或Sha1-Hulud,如今有資安業者進一步清查受害範圍,公布後續態勢。
資安業者Wiz指出Shai-Hulud 2.0活躍期間比第一波攻擊長,在11月24日事故揭露之後,超過6天仍有新的儲存庫產生,但速度趨緩,每天僅有增加數十個儲存庫。不過,相關的活動於12月1日再度升溫,攻擊者在半天裡產生超過200個新儲存庫。值得留意的是,這起事故不光影響NPM生態圈及Maven Central,可用於組建事件驅動架構的AsyncAPI,該公司的NPM權杖(Token)與Open VSX的API金鑰都被外洩。
而針對遭到感染的電腦,大部分都是CI/CD Runner,亦即執行 CI/CD(持續整合/持續部署)任務的程式或代理程式,僅有不到四分之一(23%)是開發者的電腦。對於作業系統的部分,87%受害電腦執行Linux,另有12%為macOS。Wiz指出,受害電腦幾乎執行Linux的主要原因,就是前述的Runner實際上多在容器環境運作。這樣的情況,也使得攻擊者在這波活動裡,嘗試進行容器逃逸的行為。
根據受害的CI/CD平臺類型,GitHub Actions占近六成為大宗,但也有Jenkins、GitLab CI,以及AWS CodeBuild等其他平臺。
究竟有多少機密資料外流?Wiz指出受害的儲存庫超過3萬個,其中約有八成曝露environment.json、七成曝露contents.json、五成曝露truffleSecrets.json,以及約有400個曝露actionsSecrets.json。
其中,又以truffleSecrets.json檔案影響最大,當中包含超過40萬個憑證或是權杖,其中仍有超過六成NPM權杖仍為有效狀態;contents.json曝露了逾500個GitHub使用者名稱及權杖。
附帶一提的是,所有被感染的套件下載次數差距相當大,Wiz指出其中的@postman/tunnel-agent-0.6.7與@asyncapi/specs-6.8.3兩個套件,合計的感染數量達到總數的六成,換言之,若是能及早對這類套件進行攔截,就可能讓這起事故受害範圍大幅降低。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02