冒充Claude机器人往你仓库塞后门：拆解npm蠕虫Mini Shai-Hulud攻击链

据 动察 Beating 监测，Socket.dev 对蠕虫载荷 router_init.js 的逆向分析，揭示了这次攻击的完整链路。这个约 2.3 MB 的混淆文件伪装成 TanStack router 初始化模块，安装时会窃取 GitHub Actions、AWS、Vault、Kubernetes 等环境中的高权限凭据，并尝试继续污染维护者名下的其他包。第一步是污染 CI。攻击者通过 pull_request_target 混入 TanStack 的 GitHub Actions 环境，在依赖缓存中埋入恶意代码。当维护者正常触发发版时，被污染的缓存被恢复，恶意代码从 GitHub Actions runner 进程内存中提取 OIDC token，直接向 npm 发包。整个过程没有窃取 npm 长期 token，但仍完成了带合法来源证明的投毒。第二步是寄生开发工具。Socket 称，蠕虫会把自身复制到 .claude/router_runtime.js`、.claude/settings.json`、`.claude/setup.mjs`、`.vscode/setup.mjs` 和 .vscode/tasks.json`。其中 Claude Code hooks 会在文件编辑、bash 等工具事件中重新执行恶意代码，VS Code 任务配置则提供另一条复活路径。简单 `npm uninstall 无法完成清理。第三步是冒充 AI 机器人扩散。蠕虫拿到 GitHub token 后，会调用 GitHub GraphQL API，向受害者名下仓库写入 .github/workflows/`、.claude/`、`.vscode/` 等文件，并把 commit 作者伪装成 `claude@users.noreply.github.com`。在已经允许 Claude Code 集成的仓库里，这类提交更容易混入正常 AI agent 活动。第四步是用 Session 网络外传数据。Socket 称，载荷内置 Session 去中心化通信协议栈，把窃取到的凭据经由 filev2.getsession[.]org 和 Session service node 网络传出。对企业安全设备来说，这类流量更接近加密聊天协议流量，比传统黑客 C2 回连更难按域名和特征拦截。