多个 Node.js 模块在自我扩散的 npm 供应链攻击中遭到入侵 (mini-Shai-Hulud) (2026/05/11)
critical Nessus 插件 ID 315991
语言:
简介
远程主机安装了在 mini-Shai-Hulud 供应链攻击中受到影响的 Node.js 模块。描述
远程主机上安装的一个或多个 Node.js 模块版本已知会在 2026 年 5 月 11 日报告的自我扩散式“mini-Shai-Hulud”npm 供应链攻击中遭到破坏。由于不同受损的维护者(TanStack、UiPath、DraftLab、Mistral 等)、不同的恶意软件有效负载和不同的时间线,这一浪潮与最初的 Shai-Hulud 活动分开跟踪。对这些模块的恶意更新导致凭据被收集和随后被泄露。然后,它将尝试传播到由维护者控制的其他程序包。
此插件检查的易受攻击的 Node.js 程序包列表是截止 26 年 5 月 11 日的最新内容。但是,此漏洞的影响在不断变化,如果发现更多易受攻击的程序包,则此列表可能会过时
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将受影响的 node 模块更新到高于已知受入侵版本的版本。另见
http://www.nessus.org/u?6e5a22f6
插件详情
严重性: Critical
ID: 315991
文件名: npm_supply_chain_attack_mini_shai_hulud.nasl
版本: 1.2
类型: Local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/5/21
最近更新时间: 2026/5/25
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.2
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2026-45321
CVSS v3
风险因素: Critical
基本分数: 9.6
时间分数: 8.6
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/a:nodejs:node.js
必需的 KB 项: Host/nodejs/modules/enumerated
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/5/11
漏洞发布日期: 2026/5/11
参考资料信息
CVE: CVE-2026-45321