核心摘要
近日,慢雾披露名为 Shai-Hulud Hades 的新变种正在针对 Python 包索引 PyPI 发起供应链攻击。攻击者上传的恶意 Python 包会在用户安装后释放 .pth 文件,利用 Python 启动机制自动执行,并会先检测本地是否安装 JavaScript 运行时 Bun,若未安装则从 GitHub Releases 拉取官方 Bun 二进制文件,随后执行多层混淆的 JavaScript 载荷,专门用于窃取 GitHub、npm、AWS 以及相关云服务的访问凭证。
正文解读
与此前 Shai-Hulud 攻击活动相比,新变种继续沿用相同的 RSA 公钥和基础设施,表明攻击者保持着高度一致的武器库和运营链条。从技术能力看,该变种不仅会对窃取到的凭证进行加密外传以规避检测,还具备本地持久化能力,并尝试向受害者的 CI/CD 流水线以及 GitHub Actions 注入恶意逻辑,从而在开发与部署环节持续横向扩散。
对开发者与企业而言,这一攻击再次凸显开源生态供应链的脆弱性。由于 .pth 文件在 Python 启动时会被解释器静默加载,安装一个看似无害的依赖就可能在不经意间触发恶意行为,而借助 Bun 执行混淆载荷也增加了安全分析工具的识别难度。安全团队在近期应加强对 PyPI 新发布包的审查,特别关注那些来源不明、版本异常或下载量突然上升的包,并结合 SCA、SBOM 与签名校验等手段建立纵深防御。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/189286/
