继此前引起全球PC蓝屏事件后，网络安全公司CrowdStrike再次面临安全挑战。研究人员发现，约25个由CrowdStrike提供或维护的NPM软件包感染了名为“沙虫”（Shai-Hulud）的恶意软件。这种自我复制的蠕虫能够搜索并窃取开发者机器上的访问令牌，进而感染其他软件包，甚至搜寻AWS、Azure、GitHub等平台的凭据，并可能通过GitHub Actions泄露机密信息。CrowdStrike已迅速删除受感染的软件包以阻止传播，但潜在的长期访问和数据泄露风险依然存在，提醒开发者近期使用NPM安装软件包时需格外警惕。

🐛 **沙虫恶意软件的供应链攻击**: 研究发现，名为“沙虫”（Shai-Hulud）的恶意软件已感染至少187个NPM软件包，其中包含CrowdStrike提供或维护的25个流行软件包。该恶意软件通过感染开发者使用的NPM包，能够搜索并窃取开发者机器上的各种访问令牌。

🚀 **自我复制与广泛传播能力**: 沙虫恶意软件被描述为一种能够自我复制的蠕虫，这使其能够迅速在短时间内感染大量NPM软件包。它不仅感染初始的软件包，还会利用窃取的令牌感染开发者发布或拥有维护权限的其他软件包，从而形成广泛的传播网络。

🔑 **多维度凭据窃取与长期潜伏**: 除了窃取NPM包的访问令牌，沙虫恶意软件还会搜寻AWS、Azure、GCP、GitHub等平台的凭据，并可能篡改GitHub Actions工作流文件，在CI/CD过程中泄露机密信息。这种能力使得恶意软件能在初始感染后保持长期访问，并可能在开发者继续使用受感染的软件包时，重新引发大规模感染。

🛡️ **CrowdStrike的应对与潜在风险**: CrowdStrike在收到通知后已迅速删除受感染的软件包，以遏制病毒的进一步传播。然而，目前尚不清楚CrowdStrike或其他开发者的AWS等凭据是否已被泄露，潜在的海量数据泄露风险依然存在。只要仍有开发者运行包含病毒的软件包，该恶意软件就有可能继续传播。

网络安全公司 CrowdStrike 在 2024 年 7 月引起全球级别的 PC 蓝屏死机事件，现在 CrowdStrike 再次出现安全事件并且潜在危害可能并不比 800 万台 PC 蓝屏死机要差。网络安全研究人员 Brian Krebs 发现目前约有 25 个 NPM 软件包受到名为沙虫 (Shai-Hulud) 恶意软件的影响，沙虫是知名科幻小说《沙丘》中战力非常彪悍的虚构生物。

沙虫恶意软件的破坏力在于：当开发者从 NPM 安装已经被沙虫感染的软件包时，沙虫就会在这名开发者的机器上搜索各种访问令牌 (Token)，然后利用这个令牌感染这名开发者发布或具有维护权限的其他软件包。

研究人员将此次的沙虫恶意软件描述为是能够自我复制的蠕虫，通过自我复制可以在短时间内感染海量的 NPM 软件包，目前已知至少有 187 个 NPM 软件包已经被感染。

其中 CrowdStrike 提供或维护的 25 个流行的 NPM 软件包也被感染，这意味着 CrowdStrike 工程师的设备也同样被感染，收到通知后 CrowdStrike 火速删除被感染的软件包避免蠕虫病毒继续传播。

值得注意的是 NPM 软件包被感染只是我们能够看到的现象之一，因为沙虫恶意软件还会搜寻其他凭据例如 AWS、Azure、GCP、GitHub、npm，甚至还会写入 GitHub Actions 工作流文件，在开发者运行 CI/CD 期间泄露机密信息，确保在初始感染后还能继续长期访问。

目前我们并不清楚 CrowdStrike 或其他开发者的 AWS 之类的凭据是否泄露，如果也被病毒窃取则可能会泄露海量机密数据，只不过 CrowdStrike 或其他公司暂未透露详情。

同样可怕的是沙虫病毒还可以继续潜伏，只要有一名开发者目前仍然运行包含病毒的软件包，那么就有可能通过这名开发者继续传播病毒并重新引起大范围感染事件。

近期使用 NPM 存储库安装软件包的开发者应当仔细检查，这里有目前已知受感染的软件包清单：https://www.koi.security/blog/shai-hulud-npm-supply-chain-attack-crowdstrike-tinycolor