NPM 供應攻擊：Shai Hulud 新變種分析與防

近期，NPM 供應攻擊再次引起關注，Shai Hulud 的新變種現身，對開發者和企業構成重威。根據 iThome 導，Aikido Security 發現 NPM 件 @vietmoney/react-big-calendar 中出現了疑似 Shai Hulud 第三個變種的首起樣本 (iThome)。本文將分析 Shai Hulud 的新變種，探討其攻擊手法和防措施。

Shai Hulud 新變種分析

Shai Hulud 的新變種仍延續了供應意套件的典型路，由套件安裝流程在開發者電腦或自動化建置環境執行，集環境變數與密，並試將資料外到 GitHub 存庫 (iThome)。新變種的變更點包括始動名改為 bun_installer.js，主要載荷改為 environment_source.js，外到 GitHub 時使用的存庫描述字串改成 Goldox-T3chs:OnlyHappyGirl 等。

攻擊手法分析

Shai Hulud 的攻擊手法包括取雲端登入證、機密和 NPM ，同時也新增了後門功能 (Trend Micro)。此外，意程式還會利用偷來的雲端登入證來存取雲端原生機密管理服務，出現了破性行為，會在無法搜到所要的資料時，將使用者的資料清除 (Trend Micro)。

防措施

為防 Shai Hulud 的攻擊，開發者和企業應該採取以下措施：

* 使用安全的套件管理工具和平台，例如 JFrog 平台的 Curation 能和 Xray (Linktech)
* 定期更新和描套件，發現漏洞及時修復
* 使用兩因素驗證和密碼管理工具，保護號和密碼
* 控和分析系統和網路流量，及時發現和應對攻擊

MITRE ATT&CK 應

Shai Hulud 的攻擊手法對應以下 MITRE ATT&CK 術和技術：

* T1190 – Supply Chain Compromise
* T1204 – User Execution
* T1210 – Exploitation for Client Execution

結論

Shai Hulud 的新變種對開發者和企業構成重威，需要採取有效的防措施來保護系統和資料。通過了解攻擊手法和採取防措施，可以降低攻擊的風險和影響。

參考資料與原文來源

• 原文來源: iThome
• 原文來源: Trend Micro
• 原文來源: Linktech

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。