据[动察 Beating](https://t.me/OneMillion_AI)监测:制造 npm 供应链投毒案的黑客组织 **TeamPCP**,已在 GitHub 上以 **MIT 协议**开源了涉事蠕虫 **Mini Shai-Hulud** 的完整源码。
—
## 恶意软件内置“死手开关”
安全人员从代码中发现,这款恶意程序自带一项极具破坏性的机制——**“死手开关”**。
– 如果开发者在尚未彻底清理残留文件的情况下,**直接吊销**被盗的 GitHub 或云服务凭证
– 那么恶意程序会立刻触发破坏动作,让受害者的电脑进入不可逆的数据毁灭状态
—
## 凭证失效即销毁 Home 目录
研究人员确认,该蠕虫会在 **macOS 或 Linux** 后台安装守护进程,并采取如下逻辑:
1. **每分钟**检测一次已窃取到的凭证是否仍有效
2. 一旦发现凭证被服务器拒绝(通常意味着受害者已经完成**凭证轮换/吊销**)
3. 蠕虫便立即调用系统底层的 **shred** 命令
4. 对当前用户 **Home directory** 下的所有**可写文件**进行不可逆覆盖“粉碎”
—
## 颠覆常规应急响应:吊销凭证反而触发毁灭
这起事件直接打乱了传统的安全响应思路。
– 通常企业在怀疑凭证泄露时,首要动作往往是**挂失/吊销密钥**
– 但在此次攻击中,**吊销行为反而会成为触发本地数据清除的“导火索”**
—
## 覆盖范围:170+ 包库,近 400 个版本
目前,研究人员已确认该蠕虫的感染范围包括:
– **TanStack**
– **UiPath**
– **Mistral AI**
等在内的 **170 多个**包库,涉及近 **400 个版本**。
—
## 开源挑衅与后续扩展
黑客通过名为 **PedroTortoriello** 的账号公开代码,并嘲讽称“开源这场杀戮”。与此同时,甚至出现了第三方提交 PR,为其添加对 **FreeBSD** 的支持。
—
## 微软封禁账号,但源码仍在外流传
目前,**微软**已迅速封禁该账号,并清除其全部 GitHub 仓库及 Fork 分支。
但需要注意的是:**已泄露的源码仍在其他渠道流传**。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/180337/
