在 NPM 包维护者被钓鱼攻击导致数十个包被植入窃取加密货币的恶意代码之后，NPM 包再次遭遇供应链攻击，，这一次攻击者可能有点恶作剧。至少 187 个 NPM 包感染了以《沙丘》中沙虫命名的自我复制蠕虫 Shai-Hulu，它会窃取开发者的凭证，然后公开发布到 GitHub 上的 Shai-Hulud 库中。一旦开发者安装了感染了蠕虫的 NPM 包，恶意软件会搜寻 npm 令牌，一旦发现它会修改该 npm 令牌能访问的 20 个最流行的包，植入该蠕虫，发布新版本。安全公司 CrowdStrike 有至少 25 个 NPM 包感染了该蠕虫，该公司表示这些软件包没有被 Falcon 使用，因此 Falcon 不受影响。安全研究人员发现，攻击者有意放过了 Windows 平台，假设开发者在 Linux 或 macOS 环境中工作。

krebsonsecurity.com/2025/09/self-replicating-worm-hits-180-software-packages/