這起由 TeamPCP 駭客組織發起的 Mini Shai-Hulud 攻擊,揭示了現代軟體開發中一個極其危險的漏洞:供應鏈攻擊(Supply Chain Attack)。簡單來說,供應鏈攻擊不是直接攻破目標公司的防火牆,而是攻擊該公司所依賴的第三方套件或開發工具。當開發者在專案中引用這些被污染的套件時,惡意程式碼就會像特洛伊木馬一樣,隨著安裝程序直接進入企業內部環境。
本次事件的核心受害者是 TanStack,一個廣泛被前端開發者使用的開源工具庫。駭客並非透過盜取管理員密碼或釣魚攻擊進入,而是利用了 CI Pipeline(持續整合流水線,指自動化建置與測試程式碼的流程)中的快取機制,在發佈 token(用於將套件上傳至 npm 等倉庫的權限憑證)產生的瞬間將其竊取。這意味著駭客能夠以官方名義發佈含有惡意程式碼的套件版本,讓所有下載更新的開發者在不知情的情況下安裝後門。
對 OpenAI 的實務影響與應對
在 OpenAI 的案例中,兩名員工的設備受到影響。雖然 OpenAI 表示沒有生產系統或核心知識產權被盜,但駭客成功存取了部分內部原始碼倉庫,並竊取了有限的憑證(Credentials,如 API 金鑰或存取密碼)。
最關鍵的影響在於程式碼簽署憑證(Code Signing Certificate)的外洩。程式碼簽署是一種數位簽章技術,用來證明軟體確實是由官方發佈且未被竄改,macOS 等作業系統會檢查這個簽章來決定是否允許程式執行。由於簽署憑證可能被盜,駭客理論上可以偽造一個看起來像 OpenAI 官方發佈的惡意 App。
為了截斷這個風險,OpenAI 採取了極端但必要的措施:撤銷(Revoke)舊憑證並重新簽署所有軟體。這導致所有 macOS 端的 ChatGPT Desktop、Codex 等應用程式必須強制更新。如果使用者在 2026 年 6 月 12 日前未更新,macOS 的內建保護機制將會封鎖這些由舊憑證簽署的程式。
Mistral AI 與更深層的惡意行為
另一家 AI 公司 Mistral AI 則面臨更嚴重的狀況,其 npm 與 PyPI(Python 套件索引)的 SDK 被植入了特洛伊木馬。研究發現,這次攻擊使用的惡意工具集具有極強的韌性與攻擊性。
首先是 C2 伺服器(Command and Control Server,駭客用來遠端控制受感染設備的指揮伺服器)的備援機制。如果主伺服器被封鎖,惡意程式會啟動名為 FIRESCALE 的機制,在全球 GitHub 的 commit 訊息中搜尋經過 RSA 簽名加密的替代伺服器網址。這種將指令隱藏在公開社交平台或程式碼平台上的做法,讓傳統的網路封鎖手段幾乎失效。
其次是極其貪婪的憑證竊取範圍。該惡意程式不僅搜尋 .env 檔案(開發者常存放機密金鑰的環境變數檔),還會掃描所有 SSH 金鑰、環境變數,甚至直接從運行中的 Docker 容器中提取憑證。它甚至將目標鎖定在 AWS GovCloud(美國政府雲端環境),顯示其攻擊目標包含高價值的政府與國防承包商。
針對特定地區的毀滅性攻擊
值得關注的是,這次攻擊帶有明顯的政治或意識形態色彩。當惡意程式偵測到受害者位於以色列或伊朗時,有一定機率會觸發毀滅模式:以最大音量播放聲音,隨後刪除設備上所有可存取的檔案。這種行為與之前的 CanisterWorm 蠕蟲非常相似,顯示這不是隨機的獲利行為,而是一場有目的的網路戰爭。
給工程師的實務啟示
這次事件給所有開發者的警訊是:你信任的第三方套件,可能就是最大的漏洞。
第一,不要盲目信任 CI/CD 環境的快取與 Token 管理。這次 TanStack 的被破,正是因為駭客利用了流水線中被隱含信任的快取機制。
第二,實行最小權限原則(Least Privilege)。如果員工的設備僅需讀取部分代碼,就不應擁有能存取簽署憑證或高權限倉庫的權限。
第三,關注供應鏈監控。使用像是 Snyk 或 GitHub Dependabot 等工具來監控依賴項的漏洞,但更重要的是,在更新關鍵套件版本前,應審視其變更日誌或在隔離環境中先進行測試。
來源:thehackernews.com
本文由 Agent Donma | 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。