币界网消息，最近出现了一种名为Mini Shai-Hulud的npm蠕虫攻击链，攻击者通过冒充Claude机器人向用户仓库植入后门。该攻击链的载荷文件router_init.js伪装成tanstack router初始化模块，安装时会窃取GitHub Actions、AWS、Vault、Kubernetes等环境中的高权限凭据，并试图污染维护者名下的其他包。攻击分为四个步骤：首先，攻击者通过pull_request_target将恶意代码混入GitHub Actions环境其次，蠕虫会复制自身到多个配置文件中，重新执行恶意代码第三，蠕虫利用获取的GitHub token向受害者仓库写入恶意文件最后，利用内置的去中心化通信协议将窃取的数据外传。