【精選威脅情資】Shai Hulud 捲土重來：分析 npm 供應鏈攻擊新變種

危害與影響

在 2025 年 12 月 28 日，Aikido Security 團隊偵測到一種新型的 Shai Hulud 蠕蟲變種，該蠕蟲被上傳至 npm 的 @vietmoney/react-big-calendar 套件。此事件是半年內的第三起事件，一連串的系列攻擊凸顯了供應鏈攻擊會不斷演變，對軟體生態系統造成重大影響。

‍

分析師觀點

偵測到這款新型 Shai Hulud 變種是這場供應鏈攻擊持久戰中的關鍵事件，提醒防禦者應採取強大的安全實務，包括定期稽核、安全編碼規範，以及對第三方依賴項的嚴密監控。透過保持資訊流通與主動防禦，資安社群能更有效地抵禦不斷變化的網路威脅。

‍

描述

Shai Hulud 新型變種的程式碼與行為有多項創新變化；此攻擊的主要目標為 @vietmoney/react-big-calendar 套件，該套件被竄改後內含惡意酬載。安裝後，bun_installer.js 腳本會自動執行，隨後執行含有主要惡意程式碼的 environment_source.js。

對產業的影響

此事件對各行各業都有深遠影響，特別是重度依賴開源函式庫和套件管理器的產業。攻擊者成功透過熱門 npm 套件部署蠕蟲，強調了供應鏈安全措施的重要性。使用此套件或類似組件的組織可能已暴露於未經授權的存取和資料外洩風險中，進一步將導致機敏資訊遭駭。

具體變化

• 檔案名稱與結構：
  
  • 初始檔案現在命名為 bun_installer.js，而非先前的名稱。
  • 主要酬載被稱為 environment_source.js，而非先前的名稱。
  • 引入了新的檔案名稱，包括 3nvir0nm3nt.json、cl0vd.json、c9nt3nts.json、pigS3cr3ts.json 以及 actionsSecrets.json。

• GitHub 儲存庫描述：
  
  • 新變種針對外洩儲存庫使用了不同的描述，從 "Sha1-Hulud: The Second Coming" 更改為 "Goldox-T3chs: Only Happy Girl"。
    

• 錯誤處理與死人開關 (Dead Man Switch)：
  
  • 程式碼中存在一處錯誤：惡意軟體試圖從 GitHub 獲取 c0nt3nts.json，但將其儲存為 c9nt3nts.json。
  • 早期版本中存在的死人開關（無法存取遠端資源時啟動的自毀機制）似乎已被移除。
• 程式碼變更：
  
  • 程式碼經過混淆處理，將它偽裝成衍生自原始原始碼、未經他處修改的程式碼。
  • 數據收集與儲存順序有特定更動，例如先儲存 3nvir0nm3nt.json 檔案，最後才儲存 environment.json 檔案。

對安全性的啟示

惡意軟體在檔案結構與行為上的改變，代表攻擊者採取了更複雜的手段。檔案名稱不匹配和死人開關的移除暗示了攻擊者的操作失誤，新檔名與描述則顯示規避偵測並維持控制的企圖。這些攻擊手法凸顯了持續監控與更新安全措施的重要性。‍

‍

技術分析

在 @vietmoney/react-big-calendar npm 套件中偵測到新型 Shai Hulud 變種，展現出與先前版本不同的關鍵變化與行為。此事件的核心在於攻擊者蓄意混淆與修改程式碼，以規避偵測並維持控制。

初始存取 (Initial Access)

分發包含惡意 bun_installer.js 和 environment_source.js 檔案的 @vietmoney/react-big-calendar npm 套件實現初始存取。

執行 (Execution)

bun_installer.js 腳本在套件安裝過程中自動執行，隨後執行 environment_source.js 酬載。該腳本利用 Bun 執行環境來執行主要酬載，掃描與存取本地系統中的機敏資訊。

防禦規避 (DefenseEvasion）

惡意軟體利用混淆新檔名及結構來躲避針對舊版本的特徵偵測。

憑證存取 (Credential Access)

惡意軟體透過掃描本地系統中的 API token、雲端憑證和 CI secret 來獲取關鍵憑證，隨後將這些憑證外洩至攻擊者控制的基礎設施。

探索 (Discovery）

惡意軟體透過掃描本地系統（包括：環境變數、雲端憑證以及 npm 和 GitHub token 等）來尋找機敏資訊。

收集 (Collection)

惡意軟體掃描本地系統，並將外洩資訊儲存在以下檔案中：

• 3nvir0nm3nt.json
• cl0vd.json
• c9nt3nts.json
• pigS3cr3ts.json
• actionsSecrets.json

外洩 (Exfiltration)

惡意軟體將機敏資訊寫入磁碟，並外洩傳輸至攻擊者控制的基礎設施。

結論

在 @vietmoney/react-big-calendar npm 套件中發現的新型 Shai Hulud 變種，展示了高度複雜的惡意軟體分發與外洩手法。混淆處理與修改先前的錯誤處理，都是攻擊者企圖維持長期存取並規避偵測的關鍵指標。理解這些技術細節，對於制定有效的緩解策略及強化系統安全性至關重要。

緩解措施

鑑於 Shai Hulud 事件的本質，我們建議組織採用以下緩解策略，加強安全措施、改善監測能力，並確保軟體開發流程的穩健性。

加強程式碼審查與安全性測試

• 實施嚴格的程式碼審查 (Code Review) 流程，提前識別並修復漏洞。定期的安全性測試（包括靜態分析 SAST 與動態分析 DAST）可以偵測出程式碼混淆或其他惡意模式。可將 SonarQube、CodeQL 和 Veracode 等工具整合至開發管線中以自動執行這些檢查。

持續監控與威脅偵測

• 利用先進的威脅偵測工具與持續監控系統，即時識別可疑活動，建議使用 Splunk、ELK Stack 和 Cortex XDR 等工具，監控日誌、網路流量和系統事件中的異常現象。導入機器學習模型也可增強對複雜威脅的偵測能力。

安全軟體開發生命週期 (Secure SDLC)

• 落實安全 SDLC 概念可確保開發過程的安全性，具體措施包括：
• 安全編碼規範：對開發人員進行安全編碼實務與最佳做法的培訓。
• 定期更新與補丁管理：確保所有依賴項皆為最新版本並定期修補。
• 自動化測試：將自動化安全性測試納入 CI/CD 流水線。

存取控制與最小權限原則

• 實施嚴格的存取控制政策並遵循最小權限原則，可限制攻擊者造成的損害：
• 角色存取控制 (RBAC)：根據執行工作所需的最低限度權限來分配角色。
• 多因素驗證 (MFA)：對所有關鍵系統和帳戶強制執行 MFA。

加密與資料保護

• 加密保護敏感數據，防止未經授權的存取與外洩：
• 端對端加密 (E2EE)：所有敏感通訊都應加密。
• 靜態資料加密 (Data at Rest Encryption)：加密儲存的數據，防止資料遭竊或洩露。

事故應變計畫 (Incident Response Plan)

• 制定並維護事故應變計畫，協助組織快速且有效地應對資安事件。該計畫應包含：
• 偵測與通知：偵測事件並通知相關利益方的機制。
• 遏制與根除：遏制威脅並根除惡意軟體的步驟。
• 復原與經驗總結：恢復系統與流程的計畫，並透過經驗改進未來防禦方式。

第三方風險管理

• 評估與管理第三方供應商及合作夥伴相關的風險：
• 供應商風險評估：定期評估第三方供應商的安全狀況。
• 合約條款：在供應商合約中納入安全性要求。

自動化部署與持續整合

• 實施自動化部署與持續整合，確保各種變更在部署前都經過測試與驗證：
• CI/CD 管線：使用 CI/CD 管線自動化測試與部署流程。
• 自動化部署腳本：編寫腳本以實現部署過程的自動化。

定期稽核與滲透測試

• 定期進行稽核與滲透測試有助於識別並解決漏洞：
• 內部稽核：進行內部稽核以評估整體的安全狀況。
• 滲透測試：定期執行滲透測試以模擬真實攻擊。

‍

參考資料

•         Shai-Hulud 3.0: npm Supply Chain Worm Reappears WithEnhanced Obfuscation

•         Shai Hulud Launches Second Supply-Chain Attack:Zapier, ENS, AsyncAPI, PostHog, Postman Compromised

•         Health-ISAC warns of rising cyber threats targetinghealthcare sector, urges bolstering defenses

•         Shai-Hulud Worm Targets NPM Ecosystem, StealingSecrets from 180+ Packages

•         NPM attack incident response

‍