SlowMist|2026年06月12日 11:30
✍️ 技术分析发布:从 Python 到 Bun - Shai-Hulud Hades 的跨运行时攻击链分析
MistEye 发现了一种新的 Shai-Hulud Hades 变种,针对 PyPI 发起了一种全新的跨运行时攻击链。
恶意包(例如 openai_mcp-2.41.2, bramin-0.0.4)会投放 .pth 文件,这些文件会在 Python 解释器启动时自动执行。该有效载荷会静默检查是否存在 Bun 运行时——如果不存在,它会从 GitHub Releases 下载官方 Bun binance文件,然后执行一个多层混淆的 JavaScript 有效载荷_index.js,用于凭证窃取和后期利用。
该变种与之前的 Shai-Hulud 活动(包括最近针对 Red Hat Cloud Services 的 npm 投毒)共享相同的 RSA 公钥和基础设施。
主要功能包括:
GitHub PAT / npm / AWS / 云凭证窃取
加密数据外传(RSA-OAEP)
通过 systemd/launchd 持久化 + 工作区传播
CI/CD 和 GitHub Actions 注入
通过 WMD 主题的诱饵注释实现 AI 规避
完整技术分析:
https://slowmist.(medium.com)/threat-intelligence-from-python-to-bun-cross-runtime-attack-chain-analysis-of-the-shai-hulud-hades-7e5580b8be37
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接