慢雾：NPM蠕虫病毒可能窃取CI/CD密钥和加密钱包数据，建议密切监控开发环境

2023年5月12日，Slow Fog 报告称，MistEye 检测到一种名为“Mini Shai-Hulud”的高度复杂的 NPM 蠕虫病毒，正在 TanStack、UiPath 和 DraftLab 等可信开发者项目中传播。攻击者劫持了 GitHub 凭据，以发布看似合法、但实为恶意的软件包更新。该恶意软件会注入一个高度伪装的隐藏脚本（router_init.js），并在诸如 GitHub Actions 之类的 CI/CD 环境中在后台静默运行。它专门用于窃取高度敏感的数据，包括 CI/CD 密钥、云基础设施密钥以及加密货币钱包。随后，窃取到的数据会通过 GitHub 自身的基础设施 secrets 进行传输。如果任何项目正在使用受影响的软件包，建议立即采取行动：检查 CI/CD 管道中是否存在 router_init.js 文件；轮换所有已暴露的 GitHub、云及加密货币凭据；并密切监控开发环境中是否出现任何未经授权的后台活动。