Mini Shai-Hulud 活动被归因于威胁组织 Team PCP，它的工作方式不同于大多数供应链攻击，因为攻击者不是直接窃取开发者的凭据并发布，而是在 GitHub 上分叉目标仓库，打开一个触发 `pull_request_target` 工作流的拉取请求。

这会用一个恶意的 pnpm 存储污染 GitHub Actions 缓存，从那时起，被感染的包携带有效的签名证书并通过 SLSA 源头检查，使其在标准安全工具中看起来完全干净。

图片来源：X

在5月19日，最新一波攻击波及 AntV 数据可视化生态系统，攻击者通过访问受到损害的维护者帐户 @atool 发布了 323 个包中的 300 多个恶意包版本，在 22 分钟的自动发布中。

受影响的包中包括 echarts-for-react，一个 Apache Echarts 的 React 包， 每周大约有 110 万下载。这一波中所有受影响包的总每周下载量大约估计为 1600 万。

最令人担忧的技术细节是，如果开发者尝试进行干预会发生什么。该恶意软件安装了一个定时炸弹，即一个每60秒轮询 GitHub API 的 shell 脚本，以检查它创建的 npm 令牌是否被撤销。该令牌的描述为“如果你撤销这个令牌，它将清除所有者的计算机”，如果开发者撤销，将立即清除感染机器的主目录。

该令牌还窃取来自 GitHub、AWS、Azure、GCP、Kubernetes、Hashi Corp Vault 和超过90个开发工具配置的凭据， 然后在连接的云基础设施上横向传播。

该活动同时影响了 Python 包索引（PyPI），在5月19日发布了三种恶意版本的微软官方 durabletask Python SDK，悄悄下载并执行一个 28 KB 的凭据窃取负载（在初始执行后能够跨 AWS、Azure 和 GCP 环境移动）。

GitHub 于5月20日作出回应，发布公告概述了 npm 发布的三个核心变化，即大规模 OIDC 入驻，以帮助组织将数百个包迁移到值得信赖的发布，扩展 OIDC 提供者支持，不仅限于 GitHub Actions 和 Gitlab，以及一个新的分阶段发布模型，在包上线之前给维护者一个审核窗口，要求多因素认证（MFA）批准。

图片来源：X

该公司还计划弃用遗留的经典令牌，将用户迁移到基于 FIDO 的 2FA，并默认禁用基于令牌的发布。在该活动的早期波段（2025年9月），GitHub 从 npm 注册表中删除了超过 500 个被攻击的包。

区块链安全公司 Slowmist 于5月14日发出早期警告，在警告中提到三种恶意版本的 node-ipc，一个每周有 822,000 次下载的包，此为同一活动的一部分。

使用任何被标记包的开发者已被建议立即审计依赖树，旋转所有凭据而不首先撤销恶意令牌，并检查 Snyk、Wiz、Socket.dev 和 Step Security 发布的妥协指标。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。