HackerNews 编译，转载请注明出处：

上周，网络安全专家和科技公司对一次广泛的软件供应链入侵事件发出警报。这次事件涉及“Shai-Hulud”——一种自我复制的蠕虫，被用于感染500多个嵌入在各种软件中的包。

本周，美国联邦政府发布警告，称发生了一起黑客事件，攻击者入侵了数百个开发人员用于构建软件的包。美国网络安全与基础设施安全局（CISA）表示，黑客在获得初始访问权限后，“部署了恶意软件来扫描环境中的敏感凭证”。攻击者的目标是 GitHub 个人访问令牌（PATs）和主要云服务的应用程序接口（API）密钥。

随后，恶意软件被用来窃取凭证，将其上传到公共代码库，并利用自动化流程快速传播，将恶意代码注入到其他包中。

CISA敦促所有机构对使用 npm 包生态系统的软件进行全面审查，重点检查可能受到影响的特定文件。该机构补充说，所有开发者的凭证都应及时更换，并且要警惕异常的网络行为。

GitHub 安全研究高级总监表示，他们于9月14日接到“Shai-Hulud”攻击的通知，并追踪到事件源自某个未具名维护者的账户被攻破。

René-Corail 在周一解释称：“由于这种蠕虫结合了自我复制功能与窃取多种秘密（不仅仅是 npm 令牌）的能力，如果不是 GitHub 与开源维护者及时采取行动，这可能会引发无休止的攻击浪潮。”

GitHub 表示，在事件发生后，公司立即将500个受感染的包从 npm 注册库中移除，以防止恶意软件进一步传播。同时，GitHub 阻止了包含妥协指标（IoC）的新包上传，以切断自我复制的传播模式。

René-Corail 写道：“此类入侵破坏了对开源生态系统的信任，直接威胁到整个软件供应链的完整性与安全性。它们也凸显了为什么需要提高认证与安全发布的标准，以增强 npm 生态系统抵御未来攻击的能力。”

...