迷你版“沙伊-胡鲁德”：TanStack、OpenAI 与 npmSupply Chain

最近的供应链攻击不仅危及了开源注册表，还劫持了全球安全意识最强的组织之一内部的发布管道，而其入侵点竟是一次常规的 npm 依赖项安装。

2026年5月11日，威胁组织TeamPCP发起了其Shai-Hulud蠕虫攻击活动的第四波行动，该行动现被追踪为Mini Shai-Hulud。 此次攻击在短短六分钟内，篡改了npm注册表中42个TanStack包的84个恶意包版本，最终蔓延至npm和PyPI（Python包索引）源代码注册表中的170多个包，其中包括Mistral AI、UiPath和OpenSearch所属的命名空间。受影响的包中，至少有一个——@tanstack/react-router——每周下载量约为1200万次。

这是这场不断升级的攻击行动中的第四波。此前几波包括最初的 npm 安全漏洞（Shai-Hulud 1.0）以及针对 GitHub 凭据的 2.0 波攻击。

OpenAI 本周披露，两台员工设备遭到入侵。此次事件未影响任何用户数据、生产系统或知识产权，但为控制事态，公司采取了隔离系统、轮换凭证、聘请外部取证专家等措施，并因单个依赖项的安装而触发了 macOS、Windows、iOS 和 Android 平台上代码签名证书的全面轮换。

• 攻击日期：2026年5月11日

• 受影响的包：42个@tanstack/*包中共有84个恶意版本；npm和PyPI注册表中总计超过170个

• CVE：CVE-2026-45321，CVSS评分 9.6（严重）

• 来源：TeamPCP（也称为 PCPcat、UNC6780）

• 机制：三个连锁的 GitHub Actions 漏洞——Pwn Request、缓存中毒、从运行器进程内存中提取 OIDC（OpenID Connect）令牌

• 知名受害者：OpenAI——两名员工的设备遭到入侵；内部源代码仓库中的机密信息遭泄露，包括适用于 macOS、iOS、Windows 和 Android 的代码签名证书

• 此前版本：Shai-Hulud 1.0（2025年9月）、2.0（2025年11月）和3.0（2025年12月）

• 影响： 开发和 CI/CD 环境遭到入侵 ，维护者账户和软件包被接管，SLSA 溯源信息和签名构建不再“默认安全”

• 主要风险：通过 SLSA（Software 供应链等级）构建级别三溯源认证的恶意软件包

“Mini Shai-Hulud”第四波攻击是该系列攻击迄今为止技术上最复杂的版本。此前各波攻击依赖于被攻破的维护者账户直接发布恶意软件包，而第四波攻击则利用三个 GitHub Actions 漏洞，成功劫持了合法的发布管道本身。

攻击流程：

1. 分叉与伪装：攻击者 分叉了 TanStack/router 仓库，并将其重命名为 zblgg/configuration，以便在 GitHub 的分叉列表视图中不显眼地隐藏该分叉。
2. 触发工作流： 已创建一个 拉取请求，该请求触发了 pull_request_target 工作流——即“Pwn Request”模式，该模式允许工作流访问已分叉的代码
3. 缓存中毒：攻击者的分 叉代码将 一个经过篡改的 1.1 GB pnpm-store 条目写入 GitHub Actions 缓存，并设置了相应的键值，以便发布工作流后续能够恢复该条目
4. 掩盖痕迹： 随后，该恶意拉取请求被 强制推送到“无操作”状态并关闭，以此掩盖系统遭入侵的证据
5. 等待触发条件：当 TanStack的合法维护者将无关的拉取请求合并到主分支时 ，发布工作流被触发，并恢复了被污染的缓存
6. Steal the token: Attacker-controlled binaries read /proc/<pid>/mem of the Runner.Worker process to extract the OIDC token minted for npm trusted publishing
7. 通过发布管道发布： 攻击者利用这些 令牌，通过 TanStack 自身的合法发布管道，将 84 个恶意软件包版本发布到了 npm 注册表中。
8. 结果是：这些由正规发布管道生成的软件包，虽然附有有效的 SLSA 构建级别 3 来源证明、有效的 Sigstore 证明以及合法的 GitHub Actions 签名，却内含窃取凭据的恶意软件。正如 TanStack 在其事后分析报告中所证实的，从开发者的角度来看，这些软件包在加密层面看似真实有效，且没有任何明显的遭入侵迹象。

机密信息遭泄露：该 恶意软件有效载荷通过三个冗余渠道窃取了受感染系统上可直接访问的凭证和令牌等机密信息，这三个渠道分别是：一个域名抢注网站（git-tanstack[.]com）、去中心化的Session即时通讯网络，以及利用被盗令牌通过GitHubAPI 传输。 被窃取的凭证包括 GitHub 令牌、来自 AWS、GCP 和 Azure 的云密钥、CI/CD 认证信息、Kubernetes 凭证、HashiCorpVault 以及 SSH 密钥。

在开发者的机器上，该恶意软件会安装一个持久的 gh-token-monitor 守护进程（通过 macOS LaunchAgent 或 Linux systemd），该进程每 60 秒向 GitHub 发送一次请求。当接收到因令牌撤销导致的 40X 错误时，该守护进程会尝试执行 rm -rf ~/ 命令，从而清除用户的主目录。该守护进程会在 24 小时后自动退出。

OpenAI 在披露中明确指出了被窃取的内容：仅限于两名受影响员工可访问的部分内部源代码仓库中的少量凭证材料，其中包括 macOS、iOS、Windows 和 Android 产品的代码签名证书。 OpenAI 确认没有证据表明这些证书曾被用于签署恶意软件，但出于预防考虑，公司正在轮换所有证书，并要求 macOS 用户在 2026 年 6 月 12 日之前更新应用程序，此后使用旧证书签署的应用程序可能会停止运行。

OpenAI 的披露中还有第二个细节值得关注。这两台遭到入侵的设备尚未收到更新的包管理配置——包括最低版本年龄检查和包来源验证等控制措施——而这些配置当时正在该组织的环境中全面部署。此次攻击正发生在部署期间。

这描述了一个真实且普遍存在的漏洞。安全控制措施是分阶段部署的。在任何分阶段的部署过程中，部分系统都会面临更大的风险。TeamPCP的攻击活动持续数周，不断将恶意软件包发布到软件仓库中，并等待用户安装。这一时间安排绝非偶然。

对于在“Mini Shai-Hulud”时间窗口期间可能安装了受影响软件包的任何组织：

1. 在撤销令牌之前，请先检查 gh-token-monitor 守护进程：首先将受影响的系统隔离并制作镜像；过早撤销会触发数据清除操作。
2. 轮换已泄露的密钥：对于在受影响期间安装过软件包的任何开发者或管道，请轮换 GitHub PAT、npm 令牌、SSH 密钥以及云服务凭据；并启用多因素认证 (MFA)。
3. 移除受影响的包：清除 npm 缓存和 node_modules 目录；将包版本锁定为 2026 年 5 月 12 日之后发布的版本。
4. 审核 GitHub Actions 和 CI/CD 工作流：查找意外的发布事件、新工作流，或指向未知端点的出站连接。
5. 强化管道安全：限制生命周期脚本，限制外网访问，并最小化令牌作用域。
6. 将来源验证与内容检查相结合：有效的来源信息仅表明数据流的来源，而非其完整性；应在进行认证验证的同时进行恶意软件扫描。