SAP的NPM套件遭Mini Shai-Hulud攻擊

這些遭到竄改的SAP生態系統套件，駭客植入了預先安裝的指令碼，在NPM套件安裝過程中，自動執行setup.mjs，該指令碼下載Bun執行環境，並啟動經混淆處理的酬載execution.js，攻擊者可藉此在NPM套件安裝完成之前，得以趁機執行特定程式碼。

第二階段酬載是竊資軟體與大量擴散的框架，駭客同時針對開發者的環境與CI/CD管線，收集的資料包括：GitHub憑證、NPM憑證、雲端（AWS、Azure、GCP）機密資料、Kubernetes憑證，以及GitHub Actions機密資料，並透過公開的GitHub儲存庫外洩。

針對這起事故發生的原因，Aikido根據曝露拉取請求的NPM權杖，駭客有可能透過CircleCI入侵這些套件而得逞。SafeDep指出，攻擊者可能在攻擊GitHub Actions之前就取得NPM憑證。

對比這起事故與先前Shai-Hulud活動不同之處，StepSecurity提出下列3點分析：首先，惡意軟體偵測到位於俄羅斯會自動停止、所有外洩資料會使用AES-256-GCM演算法處理，再者，駭客濫用Claude Code的掛鉤功能，將有問題的內容提交到每個能夠存取的儲存庫。