#1.1 蠕蟲攻擊模式

Mini Shai-Hulud 是一隻自我傳播的供應鏈蠕蟲，完整攻擊鏈如下：

1. 取得維護者帳號：透過釣魚或憑證填充，接管擁有大量套件的 npm 維護者帳號
2. 初始感染：在該帳號的套件中注入惡意 payload，bump 版本後重新發布
3. 在安裝時執行：惡意版本被下載後，透過 package.json 的 preinstall 鉤子執行 Bun 惡意腳本
4. 竊取憑證：蒐集 CI/CD 環境中的 npm token、GitHub token、雲端密鑰等機密
5. 蠕蟲傳播：用竊取的 npm token 呼叫 registry API，將同一帳號下所有其他套件也重新感染並發布

蠕蟲的自我傳播設計是此次規模異常龐大的核心原因。

#1.2 重要背景：GitHub 資料外洩

2026 年 5 月下旬，GitHub 官方揭露約 3,800 個 GitHub 內部 repository 遭到外洩。調查後確認：入侵路徑是 Nx Console VSCode 擴充套件（v18.95.0，約 220 萬安裝量） 在 TanStack 攻擊波次（5 月 11 日）中被污染，攻擊者藉此竊取 Nx 維護者的 GitHub 憑證，進而滲透 GitHub 內部環境。

#2.1 攻擊概要

攻擊者入侵 npm 維護者帳號 atool（同時也是 @antv 生態的維護者），在 UTC 時間 2026-05-19 01:56 至 02:56 的一小時內，批次污染並發布了 639 個惡意版本，橫跨 323 個套件。

Socket 的自動偵測系統在中位數 6.7 分鐘內識別出首批惡意版本，最終攔截了所有 639 個版本。

#2.2 受影響的主要套件

下表列出此波攻擊中幾個代表性套件：

完整受影響清單以 Socket 安全公告 為準。

#2.3 技術分析：惡意 Payload

攻擊者對每個受污染的套件 package.json 注入兩個關鍵修改：

1
{
2
  "scripts": {
3
    "preinstall": "bun run index.js"
4
  },
5
  "optionalDependencies": {
6
    "@antv/setup": "github:antvis/G2#1916faa..."
7
  }
8
}

• preinstall 鉤子：在套件安裝時自動執行，無需任何用戶主動操作
• optionalDependencies 濫用：透過 GitHub 作為分發渠道，繞過 npm registry 的稽核
• index.js：Bun 執行的主惡意腳本，使用重度 JavaScript 混淆（obfuscation）

惡意腳本的執行流程：

1
安裝套件
2
  └─ preinstall 觸發 bun run index.js
3
       ├─ 呼叫 npm registry API 驗證當前 NPM_TOKEN 是否有寫入權限
4
       ├─ 枚舉該 token 維護者所擁有的所有套件
5
       ├─ 對每個套件：複製惡意 payload → bump patch 版本 → npm publish
6
       ├─ 竊取環境變數中的機密（見下方清單）
7
       └─ 將竊取資料加密後傳輸至 C2 伺服器

目標機密清單：

• GITHUB_TOKEN（CI/CD 常見環境變數）
• AWS_ACCESS_KEY_ID / AWS_SECRET_ACCESS_KEY
• KUBECONFIG
• VAULT_TOKEN / VAULT_ADDR
• STRIPE_KEY
• GCP 服務帳號憑證
• Azure 憑證
• SSH 私鑰
• .claude/settings.json（Claude AI 工具設定，可能含 API 密鑰）
• 其他 AI 開發工具設定

高風險情境：CI/CD pipeline。GitHub Actions / GitLab CI / CircleCI 等環境在執行 npm install 時，process.env 中通常已注入上述機密，是此攻擊最主要的目標。

#2.4 入侵指標（IoCs）

若在你的 CI/CD 環境或系統中發現以下跡象，請立即進行事件回應：

#3.1 npm 的回應措施

npm 在 2026-05-22 透過官方 X（Twitter）帳號宣布：

撤銷所有擁有寫入權限且可繞過 2FA 的細粒度存取權杖（Granular Access Tokens）。

此措施旨在切斷 Mini Shai-Hulud 蠕蟲賴以傳播的主要媒介。npm 同步要求所有維護者：

1. 重新產生 npm 存取權杖
2. 更新 CI/CD pipeline 中儲存的 secrets
3. 全面輪換所有可能已外洩的憑證——不僅限於 npm token，也包含 GitHub、AWS、GCP、Azure、SSH、Kubernetes、Vault、Stripe 等

#3.2 Staged Publishing（暫存發布）公開預覽

就在撤銷 token 的前兩天（2026-05-20），npm 在 CLI v11.15.0 推出了 Staged Publishing 功能的公開預覽，提供更根本的防護機制：

1
# 暫存發布（送到暫存區，不立即公開）
2
npm stage publish
3

4
# 查看所有待審核的暫存版本
5
npm stage list
6

7
# 審核特定版本詳情
8
npm stage view <package>@<version>
9

10
# 以 MFA 互動式驗證後核准發布
11
npm stage approve <package>@<version>
12

13
# 拒絕並捨棄暫存版本
14
npm stage reject <package>@<version>

核心概念：npm publish 不再直接上架，而是先進入暫存區；只有維護者透過 互動式 MFA 驗證 執行 npm stage approve 後，套件才正式公開。由於 approve 指令無法被自動化 token（包含 OIDC Trusted Publishing）執行，即使 CI/CD pipeline 的 token 遭竊，攻擊者也無法完成蠕蟲的自動傳播。

安全研究員 Adnan Khan 表示：

「每個在 NPM 上發布套件的人今天就應該開啟這個功能。」

npm 創辦人 Isaac Schlueter 也公開表示希望未來將非 MFA 發布設為預設關閉。

#3.3 Token 撤銷的侷限性

token 撤銷雖然是必要的緊急回應，但並未根本解決問題：

• 蠕蟲仍在活躍：攻擊者可在維護者產生新 token 後，再次透過有效 token 繼續感染
• OIDC Trusted Publishing 並非萬靈丹：TanStack 波次的攻擊者取得了合法的 OIDC trusted-publisher binding，同樣成功發布了惡意版本
• 蠕蟲速度優先：攻擊完成一整波（323 個套件）僅需一小時，人工反應速度遠不及

#4.1 確認是否受影響

1
# 在專案根目錄，搜尋 @antv 相關套件是否存在可疑版本
2
# （以 lock file 為準，比 node_modules 更可靠）
3
grep "@antv" package-lock.json
4
grep "@antv" pnpm-lock.yaml  # pnpm 專案
5

6
# 使用 Socket CLI 掃描整個依賴樹的供應鏈風險
7
npx socket scan create .
8

9
# 確認 preinstall 鉤子是否曾被觸發（檢查 npm debug log）
10
# Windows
11
type %APPDATA%\npm\_logs\*.log | findstr preinstall
12
# Linux/macOS
13
cat ~/.npm/_logs/*.log | grep preinstall

如果你的 CI/CD 日誌中出現 bun run index.js 或對 t.m-kosche.com 的網路請求，請立即視為已入侵，進入事件回應流程。

#4.2 維護者應採取的行動

如果你是 npm 套件維護者，無論是否確認受影響，都應立即執行以下步驟：

1
# 1. 撤銷所有舊的 npm token
2
npm token list
3
npm token revoke <tokenId>
4

5
# 2. 產生新的 Automation token（供 CI/CD 使用）
6
npm token create --type=automation
7

8
# 3. 若 CI/CD 使用 GitHub Actions，改為 OIDC Trusted Publishing
9
#    在 npmjs.com → Access Tokens → Generate New Token → Granular Access Token
10
#    設定 Organizations: <your-github-org>，不設定 Packages（改用 OIDC）
11

12
# 4. 啟用 Staged Publishing（公開預覽階段需手動設定）
13
#    詳見 https://docs.npmjs.com/cli/commands/npm-stage

全面輪換的憑證清單：

#4.3 套件使用者應採取的行動

1
# 1. 確認安裝的 @antv 套件版本（使用 npm ls 或 pnpm list）
2
npm ls @antv/g2 @antv/g2plot echarts-for-react timeago.js
3

4
# 2. 若發現可疑版本，強制升級至最新安全版本
5
npm update @antv/g2 @antv/g2plot
6

7
# 3. 若有間接依賴，使用 overrides 鎖定版本
8
# 在 package.json 加入：
9
# "overrides": {
10
#   "@antv/g2": "^5.2.1",
11
#   "echarts-for-react": "^3.0.2"
12
# }
13

14
# 4. 重新安裝依賴
15
rm -rf node_modules
16
npm install  # 或 pnpm install
17

18
# 5. 執行 Socket 供應鏈掃描
19
npx socket scan create .

#5.1 消費端（使用套件的開發者）

• 啟用 minimumReleaseAge：使用 Renovate 或 Dependabot 時，設定新版本需等待至少 1–3 天才自動升級，給安全社群時間發現問題。pnpm 11 已將此設為預設 1 天。
• 固定 lock file：CI/CD 中使用 npm ci 或 pnpm install --frozen-lockfile，而非 npm install
• 定期掃描：將 npx socket scan create . 加入 CI pipeline

#5.2 發布端（套件維護者）

• 立即啟用 Staged Publishing：npm CLI v11.15.0+ 可用，npm stage publish 取代直接 npm publish
• 啟用 npm 帳號的 2FA：並選擇最嚴格的「Require 2FA for publishing」設定
• 改用 OIDC Trusted Publishing：減少長效 token 的使用，但注意 OIDC 本身不能取代 MFA 發布驗證
• 審核 CI/CD 的 token 權限：只賦予必要的最小權限，避免一個 token 可以發布多個套件

#5.3 監控與偵測

1
# 安裝 Socket CLI，整合到開發流程
2
npm install -g @socketsecurity/cli
3

4
# 掃描專案
5
socket scan create .
6

7
# 也可安裝 Socket GitHub App，PR 時自動掃描
8
# https://github.com/apps/socket-security