开发者安全警报：Shai-Hulud 3.0 作为最新的 NPM 供应链威胁出现

安全研究人员在不断演变的NPM供应链攻击格局中发现了一种复杂的新变体。该恶意变体于2025年12月28日由Aikido Security分析师Charlie Eriksen发现，被命名为Shai-Hulud 3.0，标志着针对开源生态系统的自动化攻击向量的显著升级。

攻击机制与威胁概况

该威胁利用自主传播机制大规模入侵开发者环境。通过针对包管理中的信任图标——供应链，Shai-Hulud 3.0专注于提取敏感的开发者凭据、云基础设施密钥和环境配置秘密。这种多层次的凭据收集方式使其区别于之前的版本。

安全社区反应

12月29日，由首席信息安全官23pds领导的SlowMist安全团队发布了一份全面的安全通告，强调了这种NPM供应链变体的风险。该警报突显了开发社区中自动化攻击日益复杂化的趋势。

当前状态与影响

目前，该威胁仍处于受控部署阶段，操作范围有限，表明其仍在积极测试和完善中，未来可能会进行更广泛的分发。这一检测窗口为开发社区提供了主动防御措施和供应链强化的机会。