事件经过
Shai-Hulud/Miasma 供应链活动的 Hades 波(归属于 UNC6780/TeamPCP)于 2026 年 6 月 8 日毒害了 26+ PyPI 包,特别针对 AI/ML 和生物信息学工具。该活动引入了 LLM 扫描仪规避(载荷中的提示注入,针对基于 AI 的分类工具)和凭证擦除威慑(一个守护程序,如果盗取的凭证被轮换,则威胁破坏性行动)。蠕虫针对 AI 特定凭证,包括 MCP 服务器配置、Anthropic/OpenAI API 密钥和 AI 编码代理令牌。langchain-core-mcp 仿冒品在恶意包中,直接针对 LangChain 用户。Zscaler ThreatLabz 分析(已验证完整文本)记录了该活动从 V1(2025 年 9 月)到 2026 年 6 月 IDE 和 PyPI 波的演变,源代码于 2026 年 5 月 12 日在 MIT 许可下公开发布 — 将其转变为可重用的攻击基础设施。
影响分析
这次活动是迄今为止观察到的最复杂的 AI 生态系统供应链攻击。它直接针对 AI 开发人员和他们的工具,窃取了 AI API 密钥和模型提供商凭证,这些密钥和凭证控制着对前沿模型的访问。LLM 扫描仪规避技术 — 在恶意载荷中嵌入提示注入以欺骗基于 AI 的安全分析器 — 是一种新颖且令人担忧的升级,削弱了 AI 辅助安全工具。擦除守护程序反转了事件响应手册。蠕虫源代码的公开 MIT 发布意味着任何威胁行为者现在都可以运行此活动。
攻击途径
受损的包附带了 *-setup.pth 文件,该文件在每次 Python 解释器启动时执行(在任何导入之前)。钩子从 GitHub 下载 Bun JavaScript 运行时并执行混淆的 _index.js 载荷,该载荷读取进程内存(在 Linux 上通过 /proc/{pid}/mem,macOS 上通过 Mach API,Windows 上通过 ReadProcessMemory)来跨 14 个 AI/云/DevOps 系统收集凭证。窃取的数据使用 AES-256-GCM + RSA-2048 加密,并被泄露到攻击者控制的 GitHub 存储库。"gh-token-monitor"持久性守护程序威胁,如果盗取的令牌被轮换,则执行破坏性行动。载荷嵌入提示注入文本以规避基于 LLM 的安全扫描仪。
受影响系统
26+ PyPI 包跨生物信息学、图-ML 和深度学习工具(包括 langchain-core-mcp 仿冒品);任何 OS 上的 Python 环境;CI/CD 管道
缓解措施
审计 Python 环境中来自未知来源的 *-setup.pth 文件。针对 IOC 列表检查已安装的包(embiggen、ensmallen、gpsea、langchain-core-mcp、rsquests、tlask、rlask 等)。在轮换凭证之前隔离受影响的系统,以避免触发擦除守护程序。将包固定到验证的哈希值。监控 stygian-cerberus-* 和 tartarean-charon-* GitHub 存储库名称(C2 泄露存储库)。