#安全资讯 病毒开源后可能就是更多黑客的狂欢，OX 安全团队发现已经有黑客利用此前开源的蠕虫病毒 Shai-Hulud 发起攻击。OX 在 NPM 注册表中发现 4 个新恶意包，其中 1 个包里面就直接使用 Shai-Hulud 蠕虫病毒，黑客仅修改 C2 服务器未对其他代码进行变更，对黑客而言这可以显著降低工作量。查看详情：https://ourl.co/112960

此前致力于 NPM 生态系统供应链攻击的黑客团队 TeamPCP 开源其使用人工智能编写的蠕虫病毒 Shai-Hulud (这个名称取自科幻小说沙丘中的蠕虫)，尽管后来微软将这个蠕虫开源库删除，但相关代码已经在互联网上传播并且有黑客开始使用这个蠕虫病毒发起攻击。

网络安全公司 OX 在日常扫描时发现 NPM 注册表里新出现 4 个包含恶意代码的安装包，其中 1 个安装包就包含 Shai-Hulud 蠕虫病毒的直接克隆版本，投放这个恶意包的黑客仅仅只是修改蠕虫病毒的 C2 服务器，并没有对其他关键选项进行调整。

恶意 NPM 包名称和信息如下：

• @chalk-tempalte 下载次数约 800 次
• @axios-util 下载次数约 300 次 (注意这是个冒充 Axios 的恶意包)
• @axois-util 下载次数约 900 次 (注意这同样是个冒充 Axios 的恶意包)
• @color-style-utils 下载次数约 900 次

黑客复制蠕虫病毒进行攻击：

OX 安全团队经过分析后发现 @chalk-tempalte 包里面使用开源的 Shai-Hulud 蠕虫病毒源代码，这些恶意包均为相同的用户 @deadcode09284814 发布，但不同的包部署的恶意代码还都是完全不同的，而包含蠕虫病毒的恶意包则主要用于窃取开发者的各类敏感凭证，成功获得凭证后蠕虫病毒会利用有效的凭证继续进行传播。

开源蠕虫病毒对黑客来说可能是个好消息，因为这名黑客直接复制 Shai-Hulud 病毒库仅对 C2 服务器进行修改，所以对下游黑客来说不需要自己写代码即可利用开源项目进行部署，未来这种情况可能会快速增加，Shai-Hulud 蠕虫病毒可能也永远不会消失。

黑客使用的部分域名或 IP 地址如下：87e0bbc636999b.lhr [.] life、80.200.28 [.] 28:2222、edcf8b03c84634.lhr [.] life