SlowMist
SlowMist|2026年06月12日 11:30
✍️ 技术分析发布:从 Python 到 Bun - Shai-Hulud Hades 的跨运行时攻击链分析 MistEye 发现了一种新的 Shai-Hulud Hades 变种,针对 PyPI 发起了一种全新的跨运行时攻击链。 恶意包(例如 openai_mcp-2.41.2, bramin-0.0.4)会投放 .pth 文件,这些文件会在 Python 解释器启动时自动执行。该有效载荷会静默检查是否存在 Bun 运行时——如果不存在,它会从 GitHub Releases 下载官方 Bun binance文件,然后执行一个多层混淆的 JavaScript 有效载荷_index.js,用于凭证窃取和后期利用。 该变种与之前的 Shai-Hulud 活动(包括最近针对 Red Hat Cloud Services 的 npm 投毒)共享相同的 RSA 公钥和基础设施。 主要功能包括: GitHub PAT / npm / AWS / 云凭证窃取 加密数据外传(RSA-OAEP) 通过 systemd/launchd 持久化 + 工作区传播 CI/CD 和 GitHub Actions 注入 通过 WMD 主题的诱饵注释实现 AI 规避 完整技术分析: https://slowmist.(medium.com)/threat-intelligence-from-python-to-bun-cross-runtime-attack-chain-analysis-of-the-shai-hulud-hades-7e5580b8be37
+6
曾提及
分享至:

脈絡

熱門快訊

APP下載

X

Telegram

Facebook

Reddit

複製鏈接

熱門閱讀