npm

深入分析 Mini Shai-Hulud 供應鏈攻擊：從 GitHub Actions 漏洞到跨生態系蠕蟲的演進

此攻擊案揭示了現代 DevOps 安全體系中『信任鏈』的脆弱性。即便部署了 SLSA Level 3 等高階完整性證明，只要構建環境（Build Environment）被劫持，證明機制反而會成為掩蓋惡意程式碼的偽裝，這是一個極其危險的訊號。然而，該攻擊仍依賴於配置不當的 pull_request_target 與過高的 Token 權限，顯示出基礎安全配置的缺失才是核心漏洞。