Mini Shai-Hulud 供應鏈攻擊:GitHub 近3,800個內部儲存庫遭外洩
2026年5月,TeamPCP組織透過多層供應鏈攻擊,最終導致GitHub內部近3,800個原始碼儲存庫遭未授權存取。
攻擊鏈時間線
| 時間 | 事件 |
|---|---|
| 2026-05-11 | TeamPCP劫持TanStack自動化發布流程,6分鐘內發布42個套件的84個惡意版本 |
| 2026-05-19 | Nx Console貢獻者機器遭入侵,憑證被竊,發布惡意Nx Console 18.95.0 |
| 2026-05-20 | GitHub公告內部儲存庫遭存取 |
攻擊路徑
TanStack惡意套件 → 開發者環境感染 → Nx Console貢獻者機器被入侵
→ 觸發Nx Console自動發布惡意版本 → GitHub員工安裝 → 內部儲存庫外洩
Mini Shai-Hulud 蠕蟲
Mini Shai-Hulud是此次攻擊使用的惡意程式,竊取目標包括:
- GitHub Token
- AWS金鑰
- SSH私鑰
- Kubernetes設定
- 1Password CLI Session
惡意Nx Console 18.95.0影響範圍
- VS Code Marketplace上架 18分鐘
- OpenVSX上架 36分鐘
- 市集記錄下載:69筆(實際惡意啟動次數:6,000次,因VS Code自動更新)
TeamPCP歷次攻擊目標(2026年3月起)
- Trivy(程式碼弱點掃描)
- LiteLLM(PyPI套件)
- Checkmarx KICS(資安掃描)
- SAP
- TanStack(最新)
- 直接受害企業:OpenAI、Mistral AI、UiPath、GitHub
GitHub應變措施
- 隔離受影響裝置
- 移除惡意擴充套件版本
- 優先輪替高風險憑證
- 評估:影響僅限內部儲存庫,無用戶資料外洩證據
防禦建議(Upwind Security)
- 立即輪替所有CI/CD憑證與存取Token
- 將GitHub Actions固定到特定Commit SHA
- 定期審查工作流程權限設定
- 監控套件發布紀錄以偵測異常
來源文章
- ithome-2026-05-21-mini-shai-hulud-github-supply-chain-176006 — 原始來源
- ithome-2026-05-25-security-daily-github-supply-chain-176094 — 資安日報整合(2026-05-25,TeamPCP 5萬美元底價競標確認)
相關頁面
- teampcp — 攻擊組織
- github — 主要受害者(內部儲存庫)
- software-supply-chain-attack — 供應鏈攻擊概念
- TeamPCP兜售Mistral AI程式碼儲存庫供應鏈攻擊事件 — 同一組織的前次攻擊
- GitHub內部儲存庫未授權存取事件2026 — 事件初報