事件经过
SecurityWeek 于 2026 年 6 月 9 日报道,新的 Shai-Hulud 变体(Miasma,自 6 月 1-3 日起针对 npm,以及 Hades/Mini Shai-Hulud,针对 PyPI)现已入侵了两个生态系统中 100+ 个包。GitHub 在 6 月 5 日禁用了 73 个微软存储库(Azure、Azure-Samples、MicrosoftDocs、Microsoft 组织),原因是 Miasma 重新入侵了 Azure 的 durabletask 项目。PyPI Hades 变体独立入侵了 19 个包中的 37 个恶意轮文件。确认被入侵的 AI 相关包包括 mistralai Python SDK 和 guardrails-ai。该活动使用了一个由 npm 令牌撤销触发的破坏性自毁/擦除例程,对尝试修复的维护者来说实际上是勒索软件。
影响分析
这是对 AI 开发者供应链的直接攻击:AI SDK 包(mistralai、guardrails-ai)被入侵,AI 工具凭证被特别针对,而新颖的持久化机制利用 AI 编码代理(Claude Code SessionStart 钩子)的信任模型来在标准修复后存活。被盗凭证包括 AWS、GCP、Azure、GitHub、npm、Kubernetes、Vault 令牌和 AI 服务 API 密钥。蠕虫使用有效的 SLSA Build Level 3 来源证明使其极难通过标准供应链证明检查检测到。
攻击途径
自我复制的供应链蠕虫使用 preinstall/postinstall npm 生命周期钩子(以及 Miasma 波中的"Phantom Gyp" binding.gyp)在安装时执行基于 Bun 的凭证窃取程序。蠕虫抓取 /proc/{pid}/mem 以提取所有 CI/CD 秘密,收获 100+ 凭证类型包括 AI 工具令牌,然后重新发布被入侵维护者控制的所有包的中毒版本。持久化通过向 .claude/settings.json 注入 SessionStart 钩子和向 .vscode/tasks.json 注入 folderOpen 任务来实现——这些在包删除后存活,因为它们位于项目配置中,而不是 node_modules。
受影响系统
npm 和 PyPI 包——确认被入侵的包包括 mistralai (2.4.6)、guardrails-ai (0.10.1)、@tanstack/* (42 个包中 84 个恶意版本)、@redhat-cloud-services (32 个包,96 个版本)、@vapi-ai/server-sdk 及其他;在 Claude Code ~/.claude/settings.json 钩子和开发者机器上的 VS Code .vscode/tasks.json 中的持久化
缓解措施
审计所有 npm/PyPI 依赖以查找被入侵版本;轮换任何受影响 CI/CD 工作流中存在的所有秘密;在任何 AI 编码代理中打开前审计所有克隆存储库中的 .claude/ 和 .vscode/tasks.json;将所有 mistralai 2.4.6 和 guardrails-ai 0.10.1 安装视为被入侵;检查具有 'IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner' 描述的 npm 令牌;审查 StepSecurity、Snyk 和 Sonatype 通告以获取完整的 IOC 列表。