据区块链安全公司 SlowMist 称,其威胁监控系统 MistEye 发现了一种名为“Mini Shai-Hulud”的复杂 npm 蠕虫,正在通过开发者项目传播,包括 TanStack、UiPath 和 DraftLab。该恶意软件使用被窃取的 GitHub 凭据来发布伪装为合法更新的包,并注入一个名为 router_init.js 的隐藏脚本,在 GitHub Actions 等 CI/CD 环境中静默运行。该蠕虫会瞄准 CI/CD 密钥、云基础设施凭据以及加密货币钱包信息,并通过 GitHub 基础设施外传数据。SlowMist 建议受影响项目立即扫描 CI/CD 管道以查找 router_init.js,轮换所有已暴露的 GitHub 与云凭据,并监控开发环境中的可疑后台活动。