Shai-Hulud 供应链投毒深度分析：云凭据窃取与自我扩散机制

查找币:余老师 | 漏洞披露 | 2026-06-02 08:00 | 1 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 背景 2026年5月19日，查找币安全团队在对npm生态进行持续威胁狩猎时，监测到一批伪装成知名开源项目的恶意npm包。这批恶意包由npm账户`atool`在22分钟内集中发布637个恶意版本，覆盖317个不同npm包名，构成一次大规模、高效率的供应链投毒行动。此前，查找币安全团队已针对Shai-Hulud相关活动发布预警分析，持续跟踪该攻击团伙在开源生态中的投毒与扩散行为。本次攻击中，阿里巴巴AntV系列数据可视化套件下的部分包（如`@antv/scale`，月下载量约220万次）被系统性植入恶意代码。其他热门前端依赖也遭波及： - **echarts-for-react**（月下载量约380万次，React封装的ECharts图表库） - **size-sensor**（月下载量约420万次，DOM元素尺寸监测工具） - **timeago.js**（月下载量约115万次，轻量级时间显示库）值得注意的是，Grafana Labs在2026年5月16日确认其GitHub仓库遭针对性攻击，代码库被下载，攻击者随后提出勒索威胁。2026年5月20日，在短短35分钟内，攻击者连续上传`durabletask@1.4.1`、`1.4.2`、`1.4.3`三个恶意版本，绕过PyPI正常发布流程，伪装成官方Microsoft发布。伴随大规模GitHub官方内部源码泄露事件，我们高度怀疑该攻击团伙与本次事件相关。GitHub称该事件源于员工设备被攻破，涉及一个被污染的VS Code扩展。 ## 攻击入口设计本次`@antv`生态系统攻击的入口设计利用npm生命周期钩子（preinstall或postinstall）。开发者在执行`npm install`时，恶意脚本自动启动一个高度混淆的JavaScript载荷（反混淆后逾万行）。该载荷系统性收集以下敏感信息： - AWS、GCP、Azure等云平台凭据 - Kubernetes集群secrets - Vault密钥管理凭据 - GitHub Actions runner secrets - 密码管理器数据（1Password/Bitwarden/pass/gopass） - SSH私钥 - 数据库连接字符串 - Stripe与Slack API key 收集后的数据经AES-256-GCM与RSA-OAEP双层加密后外传至攻击者控制的主服务器，并配有GitHub commit搜索作为外传备用通道。更关键的是，该攻击框架内置供应链自传播模块，能够自动下载其他npm包、注入恶意依赖并利用窃取的npm OIDC token重新发布感染后的包。同时，具备针对Claude Code、Codex等AI编码助手以及VS Code folderOpen事件的多重持久化机制，包含`rm -rf ~/`破坏性载荷。 ## 样本概览 | 样本 | 版本 | 触发方式 | 核心特征 | |------|------|----------|----------| | echarts-for-react | 3.2.7 | preinstall钩子 | 全功能载荷，含自传播、破坏性payload、Docker提权 | | size-sensor | 1.1.4 | preinstall钩子 | 全功能载荷，凭据收集模块完备 | | size-sensor | 1.0.4 | optionalDependencies（GitHub commit） | 轻量变体，通过依赖引用引入恶意代码 | ## 攻击框架共性分析以下技术特征在所有全功能载荷样本（echarts-for-react-3.2.7与size-sensor-1.1.4）中一致存在。轻量变体size-sensor-1.0.4也共享部分共性设计。 ### 1. 恶意代码注入机制所有样本均通过npm生命周期钩子实现代码执行。攻击者在`package.json`中配置preinstall脚本，当开发者执行`npm install`时，系统自动执行恶意代码。该机制无需用户交互，具有极高隐蔽性。 ### 2. 混淆与反检测技术恶意载荷采用多层混淆技术，包括字符串编码、函数动态生成、控制流平坦化等。反混淆后代码逾万行，有效规避静态分析工具的检测。 ### 3. 凭据收集模块收集模块遍历系统环境变量、配置文件、密钥管理工具等，提取数十类敏感信息。收集范围覆盖主流云平台、容器编排系统、密码管理器、API密钥等。 ### 4. 数据外传机制收集的数据经AES-256-GCM与RSA-OAEP双层加密后，通过HTTPS请求外传至攻击者控制的C2服务器。同时，利用GitHub commit搜索作为备用通道，确保数据在C2被阻断时仍能外传。 ### 5. 供应链自传播模块攻击框架内置自传播能力：自动下载其他npm包，注入恶意依赖，利用窃取的npm OIDC token重新发布感染后的包。该机制实现自我复制和扩散，形成供应链攻击的闭环。 ### 6. 持久化与破坏性载荷攻击代码包含针对Claude Code、Codex等AI编码助手以及VS Code folderOpen事件的多重持久化机制。此外，包含`rm -rf ~/`破坏性载荷，可在特定条件下触发数据销毁。 ## 威胁评估与防护建议 ### 威胁等级：严重本次供应链投毒攻击具有以下特征： - **大规模**：22分钟内发布637个恶意版本，覆盖317个包名 - **高隐蔽性**：利用npm生命周期钩子，无需用户交互 - **强破坏性**：包含数据窃取、自我扩散、破坏性载荷 - **持续演进**：攻击团伙持续更新攻击手法，从npm向PyPI扩散 ### 防护建议 1. **立即排查npm依赖**：检查项目`package-lock.json`或`yarn.lock`中是否包含以下可疑版本： - echarts-for-react@3.2.7 - size-sensor@1.1.4 - size-sensor@1.0.4 - 其他由atool账户发布的包 2. **启用安全扫描工具**：使用查找币安全团队提供的威胁情报系统，实时监控npm、PyPI等生态的恶意包。 3. **限制npm生命周期钩子**：在CI/CD环境中禁用preinstall/postinstall脚本执行，或使用`--ignore-scripts`参数。 4. **监控凭据泄露**：检查云平台、密码管理器、GitHub等敏感凭据是否异常，及时轮换密钥。 5. **加强供应链安全**：建立依赖白名单机制，定期审计第三方依赖，优先使用经过安全验证的版本。 ## IOC列表 ### 恶意版本 - echarts-for-react@3.2.7 - size-sensor@1.1.4 - size-sensor@1.0.4 ### 恶意文件 - filename: size-sensor-1.1.4/index.js SHA256: a68dd1e6a6e35ec3771e1f94fe796f55dfe65a2b94560516ff4ac189390dfa1c - filename: echarts-for-react-3.2.7/index.js SHA256: e37e3ddeeaaa9e0c4fdbcb829b4895a6521031c80053fc436625b61e6ee5b1a6 ### 关联GitHub commit - github:antvis/G2#1916faa365f2788b6e193514872d51a242876569 - github:antvis/G2#7cb42f57561c321ecb09b4552802ae0ac55b3a7a 注：以上IOC仅针对本次分析的样本。如需获取完整的npm包列表，请访问查找币安全团队官方平台。 ## 总结 Shai-Hulud供应链投毒攻击展示了现代攻击者利用开源生态信任链进行大规模、高效率渗透的能力。攻击者通过伪装成热门开源包，利用npm生命周期钩子实现代码执行，结合多重加密、自传播机制和破坏性载荷，对开发者环境构成严重威胁。查找币安全团队将持续监控此类攻击活动，及时发布预警和防护建议。建议开发者和企业加强供应链安全意识，定期审计依赖，使用专业安全工具进行防护。 --- 本文由查找币安全团队整理发布

Shai-Hulud 供应链投毒深度分析：云凭据窃取与自我扩散机制

查找币安全研究院

主题延伸阅读