Halaman Utama
Berita
Butiran

Perisai Shai-Hulud Menginfeksi Paket NPM/PyPI, Mengancam Dompet Kripto

iconChainGPT
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Perisai Shai-Hulud telah menginfeksi lebih daripada 320 pakej NPM dan PyPI, mempengaruhi lebih daripada 518 juta muat turun bulanan. Ancaman ini menargetkan dompet kripto dan kredensial awan, dengan kebocoran terkini di Mistral AI dan OpenAI. Para penyelidik menghubungkan perisai ini kepada TeamPCP, yang sebelumnya mencuri 4,000 repositori GitHub. Berita berdasarkan rantai menekankan keperluan mendesak untuk pemeriksaan kebergantungan yang lebih ketat dan pelepasan yang ditandatangani. Berita AI + kripto menunjukkan peningkatan risiko dalam ekosistem sumber terbuka. Pakar mendesak persekitaran pembinaan yang terpisah untuk mencegah penyebaran lanjut.

Shai-Hulud: malware rantai bekalan yang merangkumi saluran pembangun—dan dompet kripto Kampanye malware halus yang dikenali sebagai “Shai-Hulud” sedang memanfaatkan saluran alat automatik yang menjadi tumpuan pembangun untuk membina dan menghantar perisian, dan jangkauannya mengejutkan. Para penyelidik telah mengaitkan sekitar 320 entri pakej jahat di repositori Node Package Manager (NPM) dan PyPI kepada kampanye ini—pakej-pakej yang bersama-sama mencatatkan lebih daripada 518 juta muat turun bulanan. Bagi projek kripto dan mana-mana pasukan yang bergantung pada ekosistem ini, implikasinya jelas: akses penyerang terhadap alat pembangun boleh dengan cepat berubah menjadi pencurian kredensial awan dan dompet kripto. Bagaimana jangkitan merebak Shai-Hulud tidak menyerang pengguna akhir secara langsung. Sebaliknya, ia mengompromikan pakej-pakej tepercaya dan saluran pembinaan supaya malware ditarik masuk ke projek-projek seterusnya secara automatik semasa proses pembangunan dan pelancaran biasa. Kerana kod jahat sering datang dari registri pakej sah, membawa tanda tangan yang sah, dan lulus pemeriksaan rutin, ia boleh menyamar—membuat pengesanan sukar sehingga kerosakan berlaku. Mengapa ini penting “Perisian moden dibina dengan menjalankan kod orang lain,” kata Jeff Williams, CTO Contrast Security, kepada Decrypt. “Pembangun tidak semata-mata ‘memuat turun’ pustaka. Mereka memasangnya, membina dengannya, menguji dengannya, melancarkannya, dan akhirnya menjalankannya. Dan jika anda menjalankan pustaka jahat, ia boleh melakukan hampir apa-apa yang anda boleh lakukan.” Beliau memperingatkan bahawa kemajuan AI membuat masalah ini semakin buruk, dengan membandingkan kesannya kepada “membuat komputer menjadi agen ganda.” Kes sebenar dan kesan seterusnya - Pada awal Mei, Microsoft Threat Intelligence mengumumkan bahawa penyerang telah menyisipkan kod jahat ke dalam pakej Mistral AI di PyPI. Malware itu juga mengambil fail yang dirancang untuk menyerupai pustaka Transformers Hugging Face supaya ia menyamar dalam persekitaran ML. Mistral kemudian mengatakan bahawa peranti pembangun yang terjejas terlibat tetapi tidak melihat bukti infrastruktur sendiri telah dikompromikan. - Dua hari kemudian, OpenAI mengesahkan bahawa dua peranti pekerja telah dijangkiti oleh malware yang berkaitan dengan Shai-Hulud, yang memberikan akses sementara kepada sejumlah terhad repositori kod dalaman. Syarikat itu melaporkan tiada bukti bahawa data pelanggan, sistem pengeluaran, atau kekayaan intelektual telah dikompromikan. - Kampanye ini menarik perhatian yang lebih luas selepas serangan pada 11 Mei terhadap TanStack, satu rangka kerja JavaScript sumber terbuka yang banyak digunakan dan menjadi asas banyak aplikasi web dan awan. Skop dan pelaku Para penyelidik melacak varian awal Shai-Hulud kembali ke September 2025 dan mengaitkannya dengan penjenayah siber yang beroperasi di bawah nama TeamPCP. Kumpulan jenayah ini kemudian mengaku telah mencuri sekitar 4,000 repositori GitHub peribadi dan menawarkan data tersebut untuk dijual—GitHub mengatakan sedang menyiasat akses tidak sah ke repositori dalaman. Sementara itu, firma keselamatan OX Security melaporkan bahawa pakej tiruan sudah beredar yang mencuri kredensial awan dan dompet kripto, kunci SSH, dan pemboleh ubah persekitaran, dan beberapa varian juga cuba merekrut mesin yang dijangkiti ke dalam botnet DDoS. Nota teknikal dan petunjuk atribusi OX Security mencatat bahawa beberapa sampel baru hampir serupa dengan sumber Shai-Hulud yang bocor tanpa pengaburan, menunjukkan bahawa pelaku berbeza sedang mengemas semula kod tersebut daripada membangunkan varian baru. Penggunaan semula sebegini mempercepatkan penyebaran: kompromi pakej kecil atau tidak dikenali memberikan penyerang saluran masuk ke setiap projek seterusnya yang mempercayainya, membolehkan pencurian token, penerbitan jahat, dan gelombang keracunan berulang. Mengapa projek kripto perlu memperhatikan Bagi pasukan blok rantai dan kripto, permukaan serangan termasuk mesin pembangun, CI/CD, registri pakej, dan sistem penerbitan automatik—kawasan yang semakin menjadi sasaran penyerang kerana memberikan leveraj tinggi. Apabila kredensial dompet, pemboleh ubah persekitaran, atau kekunci API awan terdedah melalui ketergantungan atau cache pembinaan yang dikompromikan, penyerang boleh bergerak dari persekitaran pembangun ke sistem pengeluaran dan aset kewangan. Pertahanan praktikal Para pakar menekankan bahawa rantai bekalan perisian bukan lagi satu rantai mudah tetapi satu rangkaian penyebaran, dan pertahanan mesti mencerminkan hal ini. Langkah-langkah pemulihan yang disarankan termasuk: - Kawalan ketergantungan yang lebih ketat dan pengekangan versi yang ketat. - Perlindungan penerbitan yang lebih kuat dan rilis bertanda serta disahkan. - Kredensial dengan kuasa minimum untuk CI/CD dan penggantian token secara berkala. - Persekitaran pembinaan terpisah dan cache pembinaan yang tidak boleh diubah. - Pemindaian automatik untuk gangguan ketergantungan dan feed intelijen ancaman untuk mengesan pakej jahat pada peringkat awal. “Shai-Hulud adalah pengingat bahawa permukaan serangan meluas jauh melampaui lapisan aplikasi tradisional dan ke dalam pakej sumber terbuka yang menjadi asas aliran kerja pembangunan dan pelancaran moden,” kata Joris Van De Vis, Pengarah Penyelidikan Keselamatan di SecurityBridge, kepada Decrypt. Bagi pembina kripto, ia bermakna melindungi saluran pembangun adalah sama pentingnya dengan mengamankan kontrak pintar dan dompet—kerana satu pembinaan yang diracuni boleh menjadi laluan paling pantas kepada dana yang dikompromikan. Kesimpulan: penyerang sedang mempersenjatai infrastruktur tepercaya. Projek yang bergantung pada pakej awam, CI/CD automatik, dan cache pembinaan bersama mesti mengadopsi kawalan yang lebih ketat dan pengesanan pantas untuk mengekalkan keselamatan kod—dan kripto.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.