Shai-Hulud新变种Miasma/Hades感染超100个NPM和PyPI包

资讯专家

安全研究人员警告称，Shai-Hulud 供应链攻击的最新迭代已波及 NPM 和 PyPI 生态中的超过 100 个软件包。自 2025 年 9 月起，这种自复制蠕虫被多次用于针对开源社区的定向攻击；特别是在 Trivy 漏洞扫描器事件后，近几个月攻击显著增加。

5 月中旬，攻击组织 TeamPCP 公开了该蠕虫的源码，随即出现首批克隆版本。从 6 月 1 日开始，Shai-Hulud 的新变种被用于大规模协调攻击，首先感染了 Red Hat 混合云控制台 JavaScript 生态中的 32 个包。

第一个变种名为 Miasma，直接继承自 Mini Shai-Hulud，是一个在 NPM 安装时执行的多阶段加载器。它会扫描本地系统和关联云服务中的凭证、API 密钥、令牌等机密信息，并利用这些信息感染受害者有权限访问的包以实现自传播。截至 6 月 5 日，安全厂商 Snyk、Sonatype 和 StepSecurity 确认至少 57 个 NPM 包和超过 300 个恶意版本与 Miasma 攻击相关。受影响的包括 Vapi server SDK、ai-sdk-ollama、autotel、awaitly、executable-stories、node-env-resolver、wrangler-deploy 等生态。

第二个变种 Hades 针对 PyPI 平台。第一波攻击包含 19 个恶意包，其中包含一个 *-setup.pth 文件，会在 Python 启动时执行，拉取 Bun JavaScript 运行时并执行 JS 代码。安全公司 Socket 分析发现，它是 Miasma 的 PyPI 分支，具有相同的凭据窃取与自复制行为，以及之前 Shai-Hulud 使用的数据外泄机制——将收集的信息发布到新的 GitHub 仓库。6 月 8 日第二波攻击袭击了 PyPI，针对更多包。EndorLabs 指出，攻击者向 PyPI 推送了幽灵版本而无需对应的 GitHub 版本。StepSecurity 称至少 29 个包受影响，范围涉及生物信息学、图机器学习和 MCP 主题包。Socket 还发现执行链发生变异：载荷不再内嵌在加载器中，而是通过 sys.path 搜索创建独立的加载器和载荷，以躲避检测。

总计在受影响的 NPM 和 PyPI 包中发现了 471 个恶意制品，包括数十个与 Hades Mini Shai-Hulud 蠕虫相关的恶意 PyPI wheel 制品。

热心网友4

这个供应链攻击的规模真是触目惊心，Miasma和Hades两个变种分别渗透NPM和PyPI，还用了自复制和凭据窃取这么阴的手段。特别是Hades变种那个通过`*-setup.pth`文件在Python启动时执行JS代码的方式，感觉对依赖管理不仔细的项目杀伤力挺大的。大家最近更新依赖时得多留个心眼，最好检查一下包的来源和版本号有没有异常。感谢楼主分享这么及时的安全情报。