近期，网络安全研究人员发现名为“沙虫”（Shai-Hulud）的恶意软件正广泛传播于NPM软件包生态系统中，对开发者构成严重威胁。该恶意软件能够自我复制，感染已发布的NPM软件包，并窃取开发者的访问令牌（Token），进而感染其维护的其他软件包。值得注意的是，包括CrowdStrike在内的25个流行NPM软件包也受到了影响。沙虫恶意软件不仅限于NPM软件包，还能窃取AWS、Azure、GitHub等平台的凭据，并可能通过GitHub Actions等渠道泄露机密信息，具有长期潜伏和再次传播的风险。目前，CrowdStrike已迅速移除受感染的软件包以遏制传播。

沙虫（Shai-Hulud）恶意软件是一种自我复制的蠕虫，能够感染NPM软件包生态系统。它通过开发者安装受感染的软件包，在机器上搜索访问令牌，并利用这些令牌感染开发者发布或维护的其他软件包，从而迅速扩大感染范围。

此次攻击波及范围广泛，至少有187个NPM软件包被感染，其中包括CrowdStrike提供的25个流行软件包。这表明即使是网络安全公司内部的开发环境也可能受到威胁，CrowdStrike已采取行动删除受感染的软件包以阻止传播。

沙虫恶意软件的破坏性不止于此，它还会搜寻AWS、Azure、GCP、GitHub等平台的凭据，并可能利用GitHub Actions等工作流文件在CI/CD过程中泄露机密信息，具备长期潜伏和持续访问的能力，对敏感数据安全构成潜在威胁。

该恶意软件的传播风险依然存在，只要有开发者继续运行包含病毒的软件包，就有可能通过其设备重新引发大规模感染事件，强调了定期安全检查和及时更新的重要性。

网络安全公司 CrowdStrike 在 2024 年 7 月引起全球级别的 PC 蓝屏死机事件，现在 CrowdStrike 再次出现安全事件并且潜在危害可能并不比 800 万台 PC 蓝屏死机要差。网络安全研究人员 Brian Krebs 发现目前约有 25 个 NPM 软件包受到名为沙虫 (Shai-Hulud) 恶意软件的影响，沙虫是知名科幻小说《沙丘》中战力非常彪悍的虚构生物。

沙虫恶意软件的破坏力在于：当开发者从 NPM 安装已经被沙虫感染的软件包时，沙虫就会在这名开发者的机器上搜索各种访问令牌 (Token)，然后利用这个令牌感染这名开发者发布或具有维护权限的其他软件包。

研究人员将此次的沙虫恶意软件描述为是能够自我复制的蠕虫，通过自我复制可以在短时间内感染海量的 NPM 软件包，目前已知至少有 187 个 NPM 软件包已经被感染。

其中 CrowdStrike 提供或维护的 25 个流行的 NPM 软件包也被感染，这意味着 CrowdStrike 工程师的设备也同样被感染，收到通知后 CrowdStrike 火速删除被感染的软件包避免蠕虫病毒继续传播。

值得注意的是 NPM 软件包被感染只是我们能够看到的现象之一，因为沙虫恶意软件还会搜寻其他凭据例如 AWS、Azure、GCP、GitHub、npm，甚至还会写入 GitHub Actions 工作流文件，在开发者运行 CI/CD 期间泄露机密信息，确保在初始感染后还能继续长期访问。

目前我们并不清楚 CrowdStrike 或其他开发者的 AWS 之类的凭据是否泄露，如果也被病毒窃取则可能会泄露海量机密数据，只不过 CrowdStrike 或其他公司暂未透露详情。

同样可怕的是沙虫病毒还可以继续潜伏，只要有一名开发者目前仍然运行包含病毒的软件包，那么就有可能通过这名开发者继续传播病毒并重新引起大范围感染事件。

近期使用 NPM 存储库安装软件包的开发者应当仔细检查，这里有目前已知受感染的软件包清单：https://www.koi.security/blog/shai-hulud-npm-supply-chain-attack-crowdstrike-tinycolor

查看评论