【导语:当地时间 13 日,知名恶意软件组织 TeamPCP 在 GitHub 上开源了其 Shai-Hulud 蠕虫,安全研究机构 Ox 发现相关代码仓库,且已有模仿者开始修改并扩大其影响范围。】
据 The Register 报道,安全研究机构 Ox 于周二在 GitHub 上发现两个包含 Shai-Hulud 蠕虫代码的仓库。发布报道前几小时,一个仓库显示有 1 个 fork,另一个有 31 个,截至发稿时分别增长到 5 和 39,这与 Ox 判断的“独立威胁行为者已开始对其进行修改并扩大其影响范围”一致。
Ox 分析师研究源代码后认为,它与之前 Shai-Hulud 攻击模式相同,包括将窃取的凭证上传到新的 GitHub 仓库。Shai-Hulud 蠕虫攻击 npm 包,成功感染后会查找用户 AWS、GCP、Azure 和 GitHub 的凭证,获得访问权限后创建并发布有毒代码以延续自身,若无法实现目标,有时会试图清除本地环境作为报复。
研究人员于 2025 年 9 月发现该恶意软件,同年 11 月出现更强大的变体,此后模仿者创建了复制恶意软件,原版已在互联网上肆虐。
TeamPCP 选择了 MIT 许可证,允许几乎任何形式的代码重用。报道时,Shai-Hulud 仓库已上线至少 12 小时,微软的 GitHub 似乎尚未进行干预。
编辑观点:恶意软件开源增加了网络安全风险,GitHub 应加强监管,用户也需提高警惕,防范此类恶意软件的攻击。
