資安人員發現四個包含竊取資訊的惡意軟體npm包，一個是 TeamPCP開源Shai-Hulud 蠕蟲的複製版本。其已識別的軟體包清單如下：

• chalk-tempalte（下載量：825）
• @deadcode09284814/axios-util（下載量：284）
• axios-utils（下載量：963）
• color-style-utils（下載量：934）

OX Security Moshe Siman Tov Bustan：其中一個軟體包（chalk-tempalte）包含TeamPCP 2026年5月洩露的Shai-Hulud原始碼直接複製版本，可能是受到不久後在BreachForums上發布的供應鏈攻擊競賽的啟發。值得注意的是，儘管這四個npm套件均由同一npm用戶deadcode09284814發布，但其中嵌入的惡意負載卻各不相同，這四個資源庫仍然可以從npm下載。

對這些軟體包分析顯示， axois-utils傳播Phantom Bot基於 Golang的分散式阻斷服務 (DDoS)殭屍網絡，該殭屍網路能夠使用 HTTP、TCP和UDP協定對目標網站進行攻擊。還能透過將有效負載新增至Windows啟動資料夾並建立排程任務，在Windows和 Linux系統上建立持久性。其餘三個軟體包會在受感染系統上投放竊取有效負載。在這三個軟體包中， chalk-tempalte包含TeamPCP發布的Shai-Hulud蠕蟲的複製版本。OX Security：駭客取得程式碼，幾乎未做任何修改，就將其包含自身的C2伺服器和私鑰可用版本上傳到npm。竊取的憑證被傳送到遠端C2伺服器87e0bbc636999b.lhr[.]life。（如下圖所示）

圖：npm攻擊鏈示意圖

此外，資料會透過API使用竊取的GitHub權杖匯出到一個新的 GitHub公共資料庫。該資料庫的描述為出現了一 Mini Sha1-Hulud。另外兩個npm 套件@deadcode09284814/axios-util和color-style-utils的功能更為直接，分別將SSH金鑰、環境變數、雲端憑證、系統資訊、IP位址和加密貨幣錢包資料竊取到80.200.28[.]28:2222和8643、8838305305030505053050005。

OX Security：隨著Shai-Hulud程式碼開源，攻擊變得更加容易，駭客更有動力進行供應鏈攻擊和網域搶注。現看到一個駭客利用多種技術和資訊竊取工具，將惡意程式碼傳播到npm上，而這僅僅是即將到來的供應鏈攻擊浪潮的第一階段。下載這些軟體包的使用者應立即卸載，尋找並刪除IDE和Claude Code等編碼代理中的惡意配置，輪換密鑰，檢查GitHub資料庫中是否存在包含字串A Mini Sha1-Hulud has Appeared內容，並阻止對可疑網域名稱的網路存取。

本文參考自：https://thehackernews.com/2026/05/four-malicious-npm-packages-deliver.html