⛓️ Critical 供应链攻击 2025年9月Shai-Hulud蠕虫事件后，npm供应链攻击进入高威胁阶段。2026年4月，攻击者利用仿冒Bitwarden CLI和SAP CAP模型的恶意包，通过预安装钩子执行多阶段载荷，窃取云凭证、CI/CD令牌并自我复制传播，标志着攻击从孤立事件转向系统化武器化。 来源：Palo Alto Unit42 | 2026-04-24 | 原文链接 🔍 关键发现 * Shai-Hulud蠕虫实现了自我复制式传播，通过窃取npm和GitHub令牌自动感染并重新发布合法包 * 2026年4月出现两个新攻击波：仿冒@bitwarden/cli的'第三次降临'和针对SAP生态的'小Shai-Hulud'，后者影响约57万周下载量 * 攻击链使用Bun运行时执行混淆载荷，通过GitHub公共提交API作为隐蔽C2通道，并具备俄罗斯语言环境终止开关 ⚔️ 攻击链分析 1. 攻击者发布仿冒包（如@bitwarden/cli或@cap-js/sqlite），修改package.json添加预安装钩子 2. 用户执行npm install时