文章总结： 研究人员发现沙虫恶意软件3.0变种针对JavaScript供应链攻击，通过恶意npm包窃取凭证。新变种优化了代码模块化、混淆技术及运行时兼容性，具备更强的隐蔽性。专家警告此类发射后不管武器标志着供应链威胁升级，提醒开发者关注开源依赖安全性。 综合评分： 75 文章分类： 供应链安全,恶意软件,漏洞预警

Shai Hulud恶意软件3.0变种引发JavaScript供应链安全担忧

FreeBuf

2026年1月1日 18:31 上海

网络安全研究人员发现沙虫（Shai Hulud）恶意软件的第三个变种，这一最新版本展现出比早期攻击活动更高的复杂性和隐蔽性，再次引发对开源软件供应链安全性的担忧。

Part01

针对JavaScript生态的供应链攻击

沙虫恶意软件最早于去年9月被发现，其攻击重点并非传统终端感染，而是通过供应链入侵手段破坏JavaScript生态系统。该恶意软件使用被植入木马的npm软件包窃取凭证并自我传播。

Part02

3.0版本的技术升级

最新演化的沙虫3.0版本仍通过恶意npm软件包攻击JavaScript开发者。据首次发现该变种的安全公司Aikido Security NV称，这个自传播蠕虫在保持核心能力——横向扩散至开发者环境和持续集成管道的同时，还优化了先前攻击中使用的技术。

新变种包含多项技术改进，重点提升韧性和规避检测能力，包括：

• 更完善的错误处理机制
• 更模块化的代码结构
• 增强的混淆技术
• 对包括Windows环境在内的各类JavaScript运行时更广泛的兼容性

Part03

攻击策略演变

与早期版本相比，沙虫3.0目前仅通过少量软件包分发。这种有限的传播范围可能是攻击者的有意为之，他们通常在发起大规模攻击前通过可控部署测试更新的恶意软件。

沙虫的持续演化也凸显出开发者环境作为攻击面的吸引力正在增长。其核心攻击思路相当简单：将恶意代码嵌入开源依赖项，使攻击者能够绕过边界防御，访问存储着云基础设施、源代码仓库和部署管道等高价值密钥的系统。

Part04

安全专家警告

漏洞管理公司Mondoo首席安全官Patrick Munch指出：”沙虫3.0是一种无差别的’发射后不管’武器，无法中止攻击。其快速进化鲜明地提醒我们，软件供应链仍是威胁行为者的主要目标。”

Munch解释道：攻击软件供应链核心使攻击者能大范围窃取凭证并制造混乱。我们预计将在多个软件开发生态系统中看到类似高影响攻击的增加。他认为，这一特定攻击载荷不仅可能造成极大破坏，还预示着未来会出现更多类似攻击。

参考来源：

New Shai Hulud 3.0 malware variant raises fresh supply chain security concerns

https://siliconangle.com/2025/12/30/new-shai-hulud-3-0-malware-variant-raises-fresh-supply-chain-security-concerns/

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Shai Hulud恶意软件3.0变种引发JavaScript供应链安全担忧》