事件经过
Mini Shai-Hulud是更广泛的Shai-Hulud/Miasma供应链活动的一部分(归属于UNC6780/TeamPCP)。在2026年6月19日,一项安全检查发现1,614个泄露存储库,这些存储库跨越21个被攻陷的GitHub账户,带有描述标记'A Mini Shai-Hulud has Appeared'。该蠕虫通过postinstall钩子和GitHub工作流执行传播,主动收集和泄露凭证。
影响分析
这是一个针对AI/ML开发者的自传播供应链蠕虫。一旦开发者账户被攻陷,蠕虫就会收集云提供商、AI平台和内部系统的凭证。这些凭证随后被用于横向移动、数据盗窃和模型污染。主动传播(6月19日发现)和凭证泄露使其成为Tier A级威胁。
攻击途径
该蠕虫感染开发者账户,从环境变量、.env文件、CI/CD密钥和云配置文件中收集凭证。然后创建新的公共GitHub存储库,并将被盗凭证以明文方式推送,使攻击者可以访问。该蠕虫随后通过使用被盗身份向其他存储库提交恶意代码来传播感染。
受影响系统
GitHub存储库和账户;针对AI/ML开发者和CI/CD管道
缓解措施
如果您的GitHub账户被攻陷,请立即轮换所有凭证。启用GitHub的安全密钥要求;使用短期凭证和API令牌;监控未授权的存储库创建和提交;实施网络级检测以防止出站凭证泄露。