一周前，九家网络安全公司不约而同发出警告，Shai-Hulud蠕虫再度现身NPM包仓库，三天内上传超过一千个恶意包，感染了2.7万个GitHub仓库，灾情还蔓延至Maven Central。安全公司将其称为Shai-Hulud 2.0或Sha1-Hulud。如今，部分安全厂商进一步调查了受影响范围，并公布了最新态势。

安全公司Wiz指出，Shai-Hulud 2.0的活跃期比第一波攻击更长，在11月24日事件曝光后，仍有超过六天持续出现新的受感染仓库，但增速已放缓，每日仅新增数十个。然而，相关活动在12月1日再度升温，攻击者在半天内创建了超过200个新仓库。值得注意的是，此次事件不仅影响NPM生态和Maven Central，还导致用于构建事件驱动架构的AsyncAPI公司的NPM令牌（Token）和Open VSX的API密钥被泄露。

受感染的设备绝大多数为CI/CD Runner，即执行持续集成/持续部署（CI/CD）任务的程序或代理，仅有不到四分之一（23%）是开发人员的本地电脑。从操作系统来看，87%的受感染设备运行Linux，另有12%为macOS。Wiz指出，这些设备几乎都运行Linux，主要原因是CI/CD Runner大多部署在容器环境中，这也促使攻击者在本轮活动中尝试进行容器逃逸。

根据受感染的CI/CD平台类型，GitHub Actions占比近六成，此外还包括Jenkins、GitLab CI和AWS CodeBuild等其他平台。

究竟有多少敏感数据被泄露？Wiz表示，受影响的仓库超过3万个，其中约八成暴露了environment.json文件，七成暴露了contents.json文件，五成暴露了truffleSecrets.json文件，另有约400个仓库暴露了actionsSecrets.json文件。

其中，truffleSecrets.json文件影响最为严重，其中包含超过40万个凭证或令牌，仍有六成以上的NPM令牌处于有效状态；contents.json文件则泄露了超过500个GitHub用户名和令牌。

此外，所有被感染的包下载量差异巨大。Wiz指出，其中两个包——@postman/tunnel-agent-0.6.7和@asyncapi/specs-6.8.3——的感染数量合计占总感染数的六成。换言之，若能及时拦截这两个包，本次事件的波及范围有望大幅缩小。