FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员发现沙虫（Shai Hulud）恶意软件的第三个变种，这一最新版本展现出比早期攻击活动更高的复杂性和隐蔽性，再次引发对开源软件供应链安全性的担忧。

针对JavaScript生态的供应链攻击

沙虫恶意软件活动最早于去年9月被发现，其攻击重点并非传统终端感染，而是通过供应链入侵手段破坏JavaScript生态系统。该恶意软件使用被植入木马的npm（node packet manager）软件包窃取凭证并自我传播。

3.0版本的技术升级

最新演化的沙虫3.0版本仍通过恶意npm软件包攻击JavaScript开发者。据首次发现该变种的安全公司Aikido Security NV称，这个自传播蠕虫在保持核心能力——横向扩散至开发者环境和持续集成管道的同时，还优化了先前攻击中使用的技术。

新变种包含多项技术改进，重点提升韧性和规避检测能力，包括：

• 更完善的错误处理机制
• 更模块化的代码结构
• 增强的混淆技术
• 对包括Windows环境在内的各类JavaScript运行时更广泛的兼容性

攻击策略演变

与早期版本相比，沙虫3.0目前仅通过少量软件包分发。这种有限的传播范围可能是攻击者的有意为之，他们通常在发起大规模攻击前通过可控部署测试更新的恶意软件。

沙虫的持续演化也凸显出开发者环境作为攻击面的吸引力正在增长。其核心攻击思路相当简单：将恶意代码嵌入开源依赖项，使攻击者能够绕过边界防御，访问存储着云基础设施、源代码仓库和部署管道等高价值密钥的系统。

安全专家警告

漏洞管理公司Mondoo首席安全官Patrick Munch指出："沙虫3.0是一种无差别的'发射后不管'武器，无法中止攻击。其快速进化鲜明地提醒我们，软件供应链仍是威胁行为者的主要目标。"

Munch解释道："攻击软件供应链核心使攻击者能大范围窃取凭证并制造混乱。我们预计将在多个软件开发生态系统中看到类似高影响攻击的增加。"他认为，这一特定攻击载荷不仅可能造成极大破坏，还预示着未来会出现更多类似攻击。

参考来源：

New Shai Hulud 3.0 malware variant raises fresh supply chain security concerns

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）