FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

托管检测与响应公司Expel Inc.今日发布报告，详细披露了新发现的"沙虫"（Shai Hulud）恶意软件变种。该变种表明软件供应链攻击已从孤立的软件包入侵，演变为具有自我传播能力的攻击活动，使开发者本身成为传播节点。

"沙虫"恶意软件活动最早于去年9月被发现，主要针对JavaScript生态系统。与传统终端感染不同，它通过供应链入侵实施攻击，使用被植入木马的Node包管理器（npm）软件包窃取凭证并进行自我传播。

升级后的"沙虫"攻击活动通过自动化入侵开发者环境和npm软件包注册表实施攻击，结合了凭证收集、云密钥窃取和快速自我传播等技术手段。当开发工作站或持续集成/持续交付系统执行npm安装操作时，恶意软件便会部署嵌入在恶意npm软件包中的两阶段感染链。

新变种的第一阶段会检测目标环境是否安装Bun JavaScript运行时，若未安装则进行部署。第二阶段则会在后台运行经过深度混淆的有效载荷，协调实施凭证收集、数据外泄和传播活动。

该恶意软件会全面搜索本地系统中的敏感凭证，包括云服务商密钥、npm发布令牌和GitHub认证数据。它还利用TruffleHog安全扫描工具爬取受害者主目录，从源代码、配置文件和git历史记录中挖掘硬编码的密钥。

当发现云凭证时，"沙虫"会进一步查询AWS Secrets Manager、Azure Key Vault和Google Cloud Secret Manager等云原生密钥管理器，直接从云端提取更多密钥。

与传统恶意软件不同，"沙虫"滥用GitHub基础设施来伪装成合法开发者流量，而非使用命令控制服务器。所有窃取的凭证和系统元数据都会被外泄至新创建的公共GitHub仓库。受感染机器还会被注册为自托管GitHub Actions运行器，使攻击者获得持久远程访问权限。

为维持攻击活动，该恶意软件会利用被入侵的开发者账户，向受害者维护的其他npm软件包注入恶意代码，并自动将更新版本发布至注册表。

Expel估计此次攻击活动已涉及超过2.5万个代码仓库和数百个软件包，其中包括与广泛使用的开发工具相关的项目。

报告最后指出，"沙虫"代表了供应链风险的转变，其攻击目标转向了现代软件开发中的信任层。虽然当前攻击主要针对npm，但Expel警告称，类似攻击可能出现在依赖相同信任模型的其他语言生态系统中，包括PyPI、RubyGems和Composer。

参考来源：

Shai Hulud malware turns developers into unwitting distributors in NPM supply chain attacks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）