近期安全研究人员在 PyTorch Lightning 生态中发现了以《沙丘》宇宙中沙虫「Shai-Hulud」命名的恶意供应链攻击。该攻击利用 npm 生态的信任链缺陷,通过精巧的凭证窃取与自传播机制,对机器学习训练基础设施构成了严重威胁。本文将从技术机理、攻击流程、工程化检测与防御参数四个维度展开分析,为 AI 工程团队提供可落地的安全实践指南。
Shai-Hulud 恶意代码的技术本质
Shai-Hulud 首次披露于 2025 年底,是一种具有自传播能力的 npm 供应链蠕虫。其命名取自弗兰克・赫伯特《沙丘》系列中的巨型沙虫,暗示了该恶意软件在软件依赖生态中「吞噬」与「寄生」的运作特征。与传统供应链攻击不同,Shai-Hulud 展现出明显的蠕虫特性:一旦获得某个包维护者的凭证,即可在该账户下所有托管包中自动注入恶意代码,实现生态级别的快速传播。
从技术架构来看,Shai-Hulud 采用三层攻击模型。第一层为凭证窃取层,通过伪装成合法的开发工具或 CI/CD 集成组件,诱导开发者授权并窃取 npm、GitHub 等平台的访问令牌。第二层为代码注入层,利用获取的维护者权限在正常包中插入 preinstall 恶意钩子,当其他开发者安装或更新依赖时触发感染。第三层为持久化层,通过修改 GitHub Actions 工作流或在私有 registry 中埋入后门,实现长期驻留与横向移动。
值得注意的是,Shai-Hulud 的代码注入策略极具迷惑性。安全研究人员发现,该蠕虫的载荷通常伪装成性能优化工具或调试组件,并使用常见的工具库名称(如 tinycolor、lodash-util 等),使得开发者难以在常规代码审查中发现异常。在某些变体中,攻击者甚至利用 Bun 运行时作为加载器,利用其较新的生态地位规避传统安全检测。
PyTorch Lightning 供应链的特殊攻击面
PyTorch Lightning 作为主流的深度学习训练框架,拥有庞大的依赖生态与高度活跃的开发者社区,这使其成为供应链攻击的理想目标。该框架通过 pip 和 npm 双通道分发,其中 Python 包通过 PyPI 托管,而配套的 JavaScript 工具、预训练模型加载器及可视化组件则依赖于 npm 生态。这种混合依赖模式创造了多个潜在的攻击向量。
针对 PyTorch Lightning 的攻击路径通常遵循以下模式:攻击者首先锁定框架的某个间接依赖包,通过社会工程或凭证暴力破解获取其维护权限,随后在该包中植入恶意代码。由于 PyTorch Lightning 的用户群体通常会同时运行 Python 与 JavaScript 环境(如 Lightning Apps 的前端组件),被污染的 npm 包得以在训练流程的多个阶段触发 —— 从数据预处理到模型部署均可能受到影响。
更值得警惕的是,ML 工程师普遍倾向于在项目中启用自动依赖更新功能以获取最新特性,这一习惯在传统软件开发中尚属高风险行为,在机器学习场景中更是放大了供应链攻击的危害。研究表明,相当比例的 ML 项目配置了依赖自动升级,且往往缺乏严格的代码签名验证机制,这为 Shai-Hulud 的快速传播提供了温床。
工程化检测参数与监控阈值
针对 Shai-Hulud 类供应链攻击的检测,需要在依赖安装、运行时有上下文、CI/CD 流水线三个层面建立防线。以下参数经过安全团队的实战验证,可作为工程化落地的参考基准。
在依赖扫描层面,建议配置以下检测规则:启用包级别的 preinstall、postinstall、prepublish 脚本白名单机制,仅允许已知安全的钩子函数执行;设置依赖版本锁定策略,将可接受版本列表压缩至安全子集;将漏洞扫描工具的规则库更新频率调整为每小时级别,确保对新型恶意包的响应时间在 24 小时以内。具体而言,Semgrep Supply Chain 近期已添加针对 Shai-Hulud 特征码的专项检测规则,可检测包含 Base64 编码载荷、环境变量枚举行为、异常网络外联等典型恶意模式。
在运行时监控层面,以下行为应触发告警:任何尝试读取 CI_SECRET、AWS_ACCESS_KEY_ID、GITHUB_TOKEN 等敏感环境变量的代码路径;非预期进程对~./npm/_cacache 等缓存目录的写入操作;以及来自境外 IP 地址的凭证外联请求。建议将告警阈值设置为单小时内同一敏感操作触发超过三次即升级至应急响应流程。
在 CI/CD 防护层面,工作流文件(.github/workflows/*.yml)应禁止使用来自第三方 Action 的未版本化引用,所有 Action 必须锁定至具体提交哈希;自托管 Runner 应启用网络隔离与磁盘加密,并在每次任务完成后自动清理工作目录;npm token 与 GitHub personal access token 应设置 72 小时强制轮换周期,且禁止在日志输出中暴露任何令牌片段。
防御架构的纵深部署建议
单一检测工具难以应对 Shai-Hulud 这样的多阶段攻击,团队需要构建纵深防御体系。在依赖引入阶段,推荐使用仅限内网解析的私有 npm registry,并对所有入站包实施沙箱安装测试 —— 在隔离容器中执行安装脚本并监控系统行为,至少保留 48 小时的审计日志。在构建阶段,应强制启用依赖锁定文件(package-lock.json 或 yarn.lock)的完整性校验,任何非预期的哈希变化都应阻断流水线。在部署阶段,对进入生产环境的镜像实施供应链软件物料清单(SBOM)核验,确保所有二进制与动态链接库的来源可追溯。
对于使用 PyTorch Lightning 的 ML 团队,建议额外增加以下防护措施:在 requirements.txt 或 pyproject.toml 中明确声明所有可直接与间接依赖的版本范围;避免使用 pip install -e . 等开发模式安装来源不明的本地包;对于涉及模型权重加载的代码模块,启用代码签名验证并记录校验哈希;定期审计团队成员的仓库访问权限,及时撤销离职人员的访问凭证。
当前公开的安全事件响应手册普遍建议,在检测到疑似 Shai-Hulud 感染后,应立即执行以下操作:冻结所有依赖更新并回滚至已知安全版本;撤销并轮换过去 90 天内暴露的所有凭证;检查 GitHub 仓库的 Settings > Actions 页面是否出现异常工作流;全面扫描开发主机与 CI Runner 的文件系统,查找是否存在计划任务或隐藏启动项。
Shai-Hulud 供应链攻击的成功揭示了 ML 基础设施安全中的一个根本性矛盾:现代 AI 开发流程对高效依赖管理的追求,与供应链信任链的脆弱性之间存在结构性张力。工程团队需要在工作流效率与安全验证之间找到切实可行的平衡点,而非简单地在其一端过度倾斜。
参考资料
- Semgrep 安全研究团队关于 Shai-Hulud 供应链蠕虫的技术分析:https://semgrep.dev/blog/2025/digging-for-secrets-sha1-hulud-the-second-coming-of-the-npm-worm/
- Palo Alto Unit 42 关于 npm 供应链攻击的威胁报告:https://unit42.paloaltonetworks.com/npm-supply-chain-attack/