Sha1-Hulud卷土重来:剖析新型npm GitHub蠕虫的供应链攻击技术

本文详细分析了名为Sha1-Hulud的新型npm供应链蠕虫攻击,其通过劫持近千个npm包,利用预安装脚本窃取凭证、自我传播并具备惩罚性自毁功能,甚至滥用GitHub Actions实现远程代码执行。

Sha1-Hulud: 新型npm GitHub蠕虫的再次来袭

Sha1-Hulud携其供应链攻击的新变种卷土重来,这次它针对的是通过Node包管理器(npm)的开发环境。npm是Node.js非常流行的包管理器,为数百万JavaScript开发者提供数以百万计的预先开发的代码包。

根据目前的信息,我们确认我们自身及我们的客户并未遭受影响或暴露。作为值得信赖的安全合作伙伴,我们对客户和合作伙伴保持高度警惕,并正在监控任何可疑活动。如果出现新的信息改变此评估,我们将直接提供更新。该活动通过恶意代码感染了未受保护的npm包,当使用这些包的开发者更新到被篡改的版本时,恶意代码会自动执行。迄今为止,已确认有近1000个npm包被感染,这反过来影响了数万个代码仓库。

第一次攻击活动

早在2025年9月,Sha1-Hulud就发起了对npm包的首次攻击。通过将篡改的代码插入数百个未受保护的npm包中,这些包在所有依赖它们的开发环境中被自动“更新”。该恶意软件有两个主要组件:一个凭证窃取器和一个允许蠕虫行为传播的组件。

第二次来袭

本周发现的最新攻击活动在原有基础上进行了多方面扩展。除了凭证捕获和传播工具外,这次新活动增加了惩罚性的“自毁”功能。它还增加了跨平台支持,可在Linux、macOS和Windows上运行,并滥用GitHub Actions来实现远程代码执行能力。

安装与凭证捕获器

受感染的npm包在package.json中包含一个名为setup_bun.js的预安装脚本。这个加载器脚本试图通过伪装成安装Bun JavaScript运行时来隐藏其行为。setup_bun.js随后会执行同样嵌入在被感染包中的、经过混淆处理的10MB文件bun_environment.js

凭证捕获组件会搜索特定文件,如npm和GitHub令牌、API密钥以及云凭证。它还使用TruffleHog扫描系统以寻找任何其他有用的凭证或会话令牌。随后,恶意软件会在受害者的GitHub账户下创建一个名为“Sha1-Hulud: The Second Coming”的公共仓库。所有被窃取的文件都被转储到此仓库中,标记受影响的组织,并使文件可被访问。不仅是威胁行为者可以访问,而是对任何人都公开可访问。

蠕虫传播

Sha1-Hulud 2.0的另一个特性是感染任何新npm包的传播过程。利用在凭证捕获过程中发现的npm令牌,它会下载受害者维护的所有包。然后将setup_bun.jsbun_environment.js插入这些包中,并以递增的版本号重新发布。这将触发所有使用该包的开发者环境的自动更新。

惩罚性自毁功能

如果受害者发现被入侵并试图切断恶意软件的访问,恶意软件将尝试删除受害者主目录中的所有文件。它不仅仅是简单删除。在Windows上,恶意软件还会覆盖磁盘扇区;在Xnix系统上,它使用shred命令。这使得文件恢复的可能性大大降低。

利用GitHub Actions执行远程代码

另一个新功能是Sha1-Hulud 2.0如何利用GitHub Actions在受害者系统上执行任何他们想要的代码。恶意软件会在受害者账户下创建一个启用公开讨论的公共仓库。然后,恶意软件在受害者系统上创建一个名为~/.dev-env/的隐藏目录,在那里安装GitHub Actions运行器,并上传一个恶意的YAML工作流文件.github/workflows/discussion.yaml。此YAML文件将仓库中的任何讨论帖子解释为要在本地执行的命令。由于讨论论坛是公开的,任何人都可以在讨论中发布类似powershell -noexit "& ""C:\My Scripts\MyEvilScript.ps1"""的内容,并让其在受害者系统上执行。

缓解措施

  • 持续进行威胁狩猎,查找相关的入侵指标(IoCs),以发现任何活跃的入侵,尤其是在您的开发和CI/CD系统中。
  • 暂时冻结任何npm包更新,直到更好地了解此活动的全部范围。
  • 假设恶意软件的存在表明该系统上的所有凭证均已泄露,并相应重置凭证。
  • 重新审视您的供应链安全策略,包括清点和审计第三方供应商,以及记录您的组织可能因这些关系而面临的风险。

入侵指标 (IoCs)

bun_environment.js 62ee164b9b306250c1172583f138c9614139264f889fa99614903c12755468d0 [SHA256] f099c5d9ec417d4445a0328ac0ada9cde79fc37410914103ae9c609cbc0ee068 [SHA256] cbb9bc5a8496243e02f3cc080efbe3e4a1430ba0671f2e43a202bf45b05479cd [SHA256]

setup_bun.js a3894003ad1d293ba96d77881ccd2071446dc3f65f434669b49b3da92421901a [SHA256]

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次