区块链安全公司慢雾(SlowMist)近日在推特上披露,恶意软件家族 Mini Shai‑Hulud、Miasma 与 Hades 已从 npm 生态扩散至 Go 模块生态。受影响的项目是基于 Cosmos SDK 的 L1 项目 verana‑labs/verana 的特定版本。
调查显示,攻击者将混淆后的恶意代码埋入仓库根目录下的 *.claude/* 目录,并通过 *.claude/setup.mjs* 与 *.vscode/setup.mjs* 等文件触发。利用 VS Code 与 AI 助手的工作流钩子,当开发者打开受感染的仓库时,恶意代码便会在本地环境中自动执行。
此次事件不同于传统的构建时供应链攻击,攻击目标是开发者的本地开发环境,风险点集中在 IDE 自动化功能和 AI 辅助工具被恶意利用。为降低风险,安全团队建议开发者在启用 IDE 自动化功能时,避免打开来源不明的仓库;重点审计 *.claude* 与 *.vscode* 相关文件;并及时更换可能已泄露的凭证。
