吴说获悉，据网络安全公司 Socket 披露，5 月 11 日，开源工具库 TanStack 旗下 42 个 @ tanstack/* npm包（共计 84 个版本）遭黑客恶意篡改。相关版本被植入了窃取 CI / CD 凭证的恶意代码，目标涵盖 GitHub Actions、AWS、Kubernetes 等核心环境，官方建议受影响用户立即轮换相关凭证。Socket 指出，此次事件属于正在扩大的“Mini Shai-Hulud”供应链攻击的一部分，目前开源 AI 平台 Mistral AI、自动化软件 UiPath 等多个知名命名空间也已确认受到波及。

据慢雾 MistEye 披露，发现 Shai-Hulud Hades 新变种正在攻击 PyPI。恶意包会投放 .pth 文件，在 Python 启动时自动执行，并检测本地是否安装 Bun；若未安装，则从 GitHub Releases 下载官方 Bun 二进制文件，再执行多层混淆 JavaScript 载荷，用于窃取 GitHub、npm、AWS 及云服务凭证。慢雾称，该变种与此前 Shai-Hulud 攻击使用相同 RSA 公钥和基础设施，并具备加密外传、持久化、CI/CD 注入及 GitHub Actions 注入等能力。

据慢雾安全团队消息，其检测到针对 Red Hat 云服务包的活跃 npm 供应链攻击，已波及 31 个以上软件包（周下载量约 11.6 万次），导致超 300 个 GitHub 仓库凭证被盗。该攻击与此前的 Shai-Hulud 运动相似，通过特征标记“Miasma: The Spreading Blight”实施自动化的机密和钱包数据外泄，且目前受害范围仍在扩大。攻击者可能会窃取云凭证、SSH 密钥及本地钱包数据。慢雾建议受影响用户立即卸载或降级相关组件，审计 CI/CD 工作流，全面轮换各类密钥与钱包资产，并重构暴露的机器环境。

据慢雾安全团队消息，其检测到针对 redhat-cloud-services 软件包的活跃 npm 供应链攻击，已波及 31 个以上软件包（周下载量约 11.6 万次），导致超 300 个 GitHub 仓库凭证被盗。该攻击与此前的 Shai-Hulud 运动相似，通过特征标记“Miasma: The Spreading Blight”实施自动化的机密和钱包数据外泄，且目前受害范围仍在扩大。攻击者可能会窃取云凭证、SSH 密钥及本地钱包数据。慢雾建议受影响用户立即卸载或降级相关组件，审计 CI/CD 工作流，全面轮换各类密钥与钱包资产，并重构暴露的机器环境。

🛡️ Vercel 重大安全事件爆發！幣圈開發者們，這波供應鏈攻擊值得高度警覺！（2026/4/19） 今天 Vercel 官方確認發生安全事件：一名員工使用的第三方 AI 工具 被駭，導致攻擊者透過 Google Workspace OAuth 入侵內部系統。雖然只有「有限子集」的客戶受到影響，但駭客已取得部分未標記為 sensitive 的環境變數（env variables），包括 NPM token、GitHub token 等高敏感憑證！ 更嚴重的是，ShinyHunters（曾搞出 Ticketmaster 大洩漏的那群人）已在 BreachForums 上以 200 萬美元 標價販售 Vercel 內部資料庫。Vercel 擁有 Next.js（每週下載量高達 600 萬次），一旦惡意程式碼被推上去，全球供應鏈瞬間中招！ Vercel 官方已緊急聯絡駭客、聘請 Mandiant 調查、通知執法單位，並公開 IOC（OAuth App ID）。他們也建議所有用戶： - 立即審核 Activity Logs - 旋轉所有 env variables（尤其是 API key、資料庫憑證、簽名金鑰） - 未來務必把重要 secret 標記為 “Sensitive” - 檢查最近的 Deployment，有疑慮就刪除 - 啟用 Deployment Protection（至少 Standard 等級） 🔥 幣圈重點來了！ 現在的 Web3/幣圈，已經不止要防智能合約漏洞了！ 人為疏失 + 第三方工具風險 才是真正的大魔王： 1. 人為疏失：開發者為了方便，把 Google Workspace、AI 代理工具、CI/CD 權限全部串在一起，一個 OAuth 授權就全盤皆輸。 2. Vercel 這類工具：Next.js、Vercel 已經是無數 dApp、前端專案的部署主力。一旦供應鏈被毒化，錢包合約、Bridge、前端 UI 全都可能被植入後門。 這次事件再次提醒我們：零信任（Zero Trust）不是口號，是生存法則。 - 不要再把「方便」當成安全 - 所有 secret 永遠當成已洩漏處理 - 第三方 AI 工具、OAuth App 都要嚴格審核權限 立即行動清單（推薦複製給團隊）： ✅ 檢查 Vercel、NPM、GitHub、所有 API key ✅ 啟用 sensitive env variables ✅ 審核過去 72 小時的部署紀錄 ✅ 考慮把關鍵專案遷移到自管基礎設施或更嚴格的權限控制 Vercel 這次 DM 駭客「拜託停手」的畫面真的蠻震撼的… 這不是單一事件，而是整個開發生態的警鐘！