慢霧：各項目方需警惕 NPM 供應鏈攻擊最新變種 Shai-Hulud 3

ChainCatcher 消息，慢霧科技首席資訊安全官 23pds 發布安全預警，NPM 供應鏈攻擊的最新變種 "Shai-Hulud 3" 再次來襲，請各項目方和平台注意防範，此前懷疑 Trust Wallet API key 洩露可能為 Shai-Hulud 2 攻擊導致。

Shai-Hulud 是一系列針對 NPM 生態的自傳播蠕蟲式供應鏈攻擊，用於竊取開發者憑證、雲密鑰和環境秘密。最新變種（社區稱為 Shai-Hulud 3 或新 strain）於 2025 年 12 月 28 日被 Aikido Security 研究員 Charlie Eriksen 發現，目前傳播範圍有限，可能僅為測試階段。