微软删除 Shai-Hulud 蠕虫病毒开源库，相关账号也被封禁无法再发布内容。昨天蓝点网提到专注于供应链攻击的黑客团队 TeamPCP 开源发布蠕虫病毒 Shai-Hulud，该蠕虫用于 NPM 生态系统，现在微软已经删除仓库并封号，但网上已经有诸多替代链接可以继续下载源代码。查看详情：

MistEye 🚨 NPM 蠕虫 Shai-Hulud 开源，供应链风险升高。 Shai-Hulud 是近期备受关注的 'Git 恶意蠕虫'，现已被开源。 这意味着 TeamPCP 或其他方发布了完整可执行版本，潜在威胁显著增加。 各项目方和平台需提高警惕，立即加强防护，防范 NPM 供应链攻击。

每周被下载 110 万次的开源基础包，被系统标记为已知恶意软件。 它的供应链安全评分直接归零。 这是一个名叫“迷你沙虫”（Mini Shai-Hulud）的代码蠕虫。 它近期在开源代码库里完成了大面积感染。 受害者名单里全是高频组件。 阿里巴巴的数据可视化套件 antv，数百个包被植入恶意代码。 前端常用的 echarts-for-react、timeago.js 等工具也无一幸免。 单是 echarts-for-react 这一项，每周的装机量就高达 110 万次。 起因是一个普通开发者账号失守。 用户名 atool 的账号被盗取了权限。 黑客接管后，往这些底层组件里塞进了混淆的恶意代码。 带毒的 3.2.7 版本发布仅仅 19 分钟，漏洞扫描就全红了。 现代软件工业的底层其实非常脆弱。 无数估值百亿的科技公司，底层都依赖着这些靠个人维护的开源轮子。 只要一个邮箱的密码被攻破，几百万个下游项目的安全大门就会被同时撬开。

病毒开源后可能就是更多黑客的狂欢，OX 安全团队发现已经有黑客利用此前开源的蠕虫病毒 Shai-Hulud 发起攻击。 OX 在 NPM 注册表中发现 4 个新恶意包，其中 1 个包里面就直接使用 Shai-Hulud 蠕虫病毒，黑客仅修改 C2 服务器未对其他代码进行变更，对黑客而言这可以显著降低工作量。 查看详情：

病毒开源也是开源？致力于供应链攻击的 #TeamPCP# 团队在 GitHub 开源蠕虫病毒 Shai-Hulud，随后还有好心人贡献代码让蠕虫支持 FreeBSD (用户：我可谢谢你)。这个蠕虫病毒只需要简单修改即可部署使用，OX 分析师也确认代码是有效的，与黑客此前发起攻击使用的代码相同：

吴说获悉，据网络安全公司 Socket 披露，5 月 11 日，开源工具库 TanStack 旗下 42 个 @ tanstack/* npm包（共计 84 个版本）遭黑客恶意篡改。相关版本被植入了窃取 CI / CD 凭证的恶意代码，目标涵盖 GitHub Actions、AWS、Kubernetes 等核心环境，官方建议受影响用户立即轮换相关凭证。Socket 指出，此次事件属于正在扩大的“Mini Shai-Hulud”供应链攻击的一部分，目前开源 AI 平台 Mistral AI、自动化软件 UiPath 等多个知名命名空间也已确认受到波及。