立即保护您的企业：针对 Shai-Hulud 蠕虫与 npm 漏洞的 6 个可执行步骤 (opens in new tab)

📌 One-Sentence Summary 深度分析 Mini Shai-Hulud 蠕虫攻击，该蠕虫通过有效来源证明入侵了 172 个 npm 和 PyPI 包，详细介绍了杀伤链、对 AI 智能体配置的针对性攻击，以及面向企业防御者的 6 步可执行审计计划。 📝 Summary 本文对 Mini Shai-Hulud 供应链攻击进行了全面的技术分析。该攻击利用有效的 SLSA Build Level 3 来源证明，入侵了 172 个 npm 和 PyPI 包（包括 TanStack 和 Mistral AI）。该蠕虫利用了三个连锁漏洞：执行 fork 代码的 pull_request_target 工作流、GitHub Actions 缓存投毒，以及从运行进程内存中提取 OIDC 令牌。它从超过 100 个文件路径中窃取凭证，包括 AI 智能体配置（Claude Code、VS Code），并安装了在包卸载后依然存活的持久化钩子。文章包含对 Endor Labs 研究员 Peyton Kennedy 的独家专访、一个详细的 CI/CD 信任链审计网格（识别出 6 个关键缺口）...