GitHub Security Lab深度分析Shai-Hulud供应链攻击，揭示攻击者如何通过窃取凭证、注入恶意npm生命周期脚本实现自我复制和CI/CD渗透。文章提供防御建议，包括启用MFA、使用OIDC可信发布和阶段性发布机制，帮助维护者应对下一波恶意软件战役。