Mini Shai-Hulud 供應鏈攻擊:GitHub 近3,800個內部儲存庫遭外洩

2026年5月,TeamPCP組織透過多層供應鏈攻擊,最終導致GitHub內部近3,800個原始碼儲存庫遭未授權存取。

攻擊鏈時間線

時間事件
2026-05-11TeamPCP劫持TanStack自動化發布流程,6分鐘內發布42個套件的84個惡意版本
2026-05-19Nx Console貢獻者機器遭入侵,憑證被竊,發布惡意Nx Console 18.95.0
2026-05-20GitHub公告內部儲存庫遭存取

攻擊路徑

TanStack惡意套件 → 開發者環境感染 → Nx Console貢獻者機器被入侵
→ 觸發Nx Console自動發布惡意版本 → GitHub員工安裝 → 內部儲存庫外洩

Mini Shai-Hulud 蠕蟲

Mini Shai-Hulud是此次攻擊使用的惡意程式,竊取目標包括:

  • GitHub Token
  • AWS金鑰
  • SSH私鑰
  • Kubernetes設定
  • 1Password CLI Session

惡意Nx Console 18.95.0影響範圍

  • VS Code Marketplace上架 18分鐘
  • OpenVSX上架 36分鐘
  • 市集記錄下載:69筆(實際惡意啟動次數:6,000次,因VS Code自動更新)

TeamPCP歷次攻擊目標(2026年3月起)

  • Trivy(程式碼弱點掃描)
  • LiteLLM(PyPI套件)
  • Checkmarx KICS(資安掃描)
  • SAP
  • TanStack(最新)
  • 直接受害企業:OpenAI、Mistral AI、UiPath、GitHub

GitHub應變措施

  • 隔離受影響裝置
  • 移除惡意擴充套件版本
  • 優先輪替高風險憑證
  • 評估:影響僅限內部儲存庫,無用戶資料外洩證據

防禦建議(Upwind Security)

  1. 立即輪替所有CI/CD憑證與存取Token
  2. 將GitHub Actions固定到特定Commit SHA
  3. 定期審查工作流程權限設定
  4. 監控套件發布紀錄以偵測異常

來源文章

相關頁面