惡意程式 Mini Shai-Hulud 供應鏈攻擊全網擴散

aidj

剛看到阿達的這則訊息
https://www.koc.com.tw/archives/642746
惡意程式 Mini Shai-Hulud 供應鏈攻擊全網擴散：170+ 套件淪陷，OpenAI 員工裝置也遭入侵

以下內容是我跟AGENT討論的重點，跟大家分享一下~~目前我剛掃完沒異常，已做成固定每周自我檢測的機制。

>>>
【資安紅色警戒】有在使用 Claude Code 或 AI 輔助開發的群友請注意，千萬不要盲目撤銷你的 API Token！

最近開源圈爆發了一隻針對 AI 開發者的供應鏈蠕蟲，名為 Mini Shai-Hulud。這隻病毒的設計極度惡毒，它會悄悄竄改你本機端的 AI 工具設定檔。最可怕的是，如果你中了招，然後照著網路上的常規資安建議「立刻去後台把外洩的 Token 撤銷掉」，它內建的「同歸於盡機制 (Dead Man's Switch)」會瞬間引爆，直接把你 Mac 的家目錄全部刪光。

剛剛我針對這隻蠕蟲進行了底層防禦實戰，整理出以下致命的防禦誤區與正確的拆彈 SOP，請大家務必看清楚再動作。

🛑 絕對不要做的三件事（會直接引爆）：
1. 不要盲目撤銷 Token：病毒在背景連著網，一旦發現 Token 被撤銷失效，就會啟動自毀程式刪硬碟。
2. 不要隨便下載網路上的社群掃描工具：在紅色警戒期，隨便跑未知的腳本掃描系統，極可能誤觸病毒的防禦機制。
3. 不要讓 AI 幫你自動清理：AI 寫程式時的刪除順序只要錯一步，沒有完全阻斷背景連線，一樣會觸發自毀。

🔍 正確的「唯讀」自檢方式：
供應鏈病毒不是空氣傳染，通常是你 npm install 載到了被下毒的開源套件才會中招。
請用最原始的文字編輯器或在終端機用 cat 指令（嚴禁任何寫入與執行動作），去檢查你專案裡的兩個檔案：
- .claude/settings.json
- .vscode/tasks.json
看看裡面有沒有被塞入奇怪的外部連線 webhook、未知的 bunx 指令，或是 shai-hulud 的字眼。如果有，代表你中招了。

💣 中招後的「手動拆彈四部曲」：
發現病毒後，必須把診斷與拆彈嚴格分開，切勿依賴自動化工具，全程純手工處理：

第一步：物理斷網與冰凍。直接關閉電腦的 Wi-Fi 或拔掉實體網路線。這等於直接剪斷炸彈引信，讓它無法向外連線偵測 Token 狀態。同時強制關閉所有終端機與 VS Code 程式。
第二步：無害化清理。用最簡單的「文字編輯器 (TextEdit)」打開上述受感染的設定檔，手動把惡意程式碼刪掉並存檔。
第三步：全域複查。檢查全域環境變數（如 .bashrc 或 .zshrc）與排程檔案，確認沒有殘留的備用引爆器。
第四步：安全換鎖。確認本機環境的惡意 Hook 都刪除乾淨後，再重新連上網路，登入 OpenAI 或 Anthropic 後台把所有 Token 撤銷，換上全新的金鑰。

💡 日常防禦建議：
不要每天盲目掃描自己嚇自己。建立「事件驅動」的防禦觀念：只要今天有拉取外部未知的開源套件，結束後就靜態檢查一次這兩個設定檔。

這是一場針對 AI 開發者的精準狙擊，請大家在享受 AI 自動化帶來高效率的同時，把安全防護的底線守好。有使用相關工具的朋友，請務必互相提醒，避免硬碟資料付之一炬！
-----------
115.5.16 22:12補充
🛡️ 三道「安裝前」的優化防禦策略
1. 物理閹割安裝腳本（最強防禦）： 永遠不要讓 AI 或你自己裸跑 npm install。必須強制加上 --ignore-scripts 參數（例如 npm install <套件名> --ignore-scripts）。這個參數會把套件下載到硬碟，但絕對禁止套件自帶的任何腳本自動執行。這能直接廢掉 90% 以上的供應鏈攻擊武功。
2. 建立「隔離檢疫區（Quarantine）」流程： 改變 AI 的行為邏輯。當系統需要引入新套件時，流程必須是： 攔截安裝意圖 ➔ 以無腳本模式下載 (--ignore-scripts) ➔ 觸發 SKILL 進行靜態掃描 ➔ 確認安全後，才允許正式編譯或放行。
3. 外部信譽查核（Pre-flight Check）： 在連下載都還沒下載之前，先讓系統去查這個套件的底細。例如使用 npm view <套件名> 檢查它的發布時間、作者是否異常，或是呼叫如 socket.dev 這類專門抓惡意套件的開源 API 進行快速評估。

---------------
我給我的AGENT下的指令:

針對資安防禦提出致命的邏輯漏洞：事後掃描無法防禦 postinstall 惡意腳本。

立即實作升級版的「靜態資安掃描與安裝攔截器 (Pre-Install Interceptor)」。

【核心防禦升級：物理閹割與檢疫】
從現在起，全面剝奪系統直接執行原生 `npm install` 或 `yarn add` 的權限。
所有引入外部依賴的動作，必須被強制劫持並替換為以下「隔離檢疫流程」：
1. 意圖攔截：當系統或開發管線試圖安裝新套件時，暫停動作。
2. 無害化下載：強制使用 `npm install <套件名> --ignore-scripts` 參數，僅下載源碼，絕對禁止任何生命週期腳本（preinstall/postinstall）自動執行。
3. 觸發掃描：下載完成後，立刻對該套件資料夾與本機環境執行 shai-hulud-audit 靜態掃描。
4. 安全放行：只有在掃描報告全數亮綠燈後，才允許後續的編譯或系統重啟。

【SKILL 執行動作 (維持唯讀原則)】
1. 靜態讀取 .claude/settings.json 尋找異常 hook 或外部連線。
2. 靜態讀取 .vscode/tasks.json 尋找隱藏的 Auto-run tasks。
3. 靜態掃描剛下載的 node_modules/<新套件> 與專案目錄下的惡意特徵碼 (shai-hulud, bunx, 未知 wget/curl)。
4. 輸出檢測報告。若發現異常特徵，直接阻斷後續流程，將該套件列入黑名單，並向執行長發出紅色警報。

【觸發機制】
1. 攔截觸發 (Interceptor)：劫持所有 npm/yarn 安裝指令，強制走隔離檢疫流程。
2. 手動觸發 (On-Demand)：執行長下令「啟動資安自檢」時調用。
3. 常態底線 (Baseline)：每週五 17:00 執行週末前底線掃描。

請確認你已理解「事前攔截優於事後掃描」的戰略意圖，並將此 技能卡封裝送交審查。
----------