投毒即服务：TeamPCP如何引爆AI时代供应链危机

供应链投毒

劫持 npm、PyPI、Docker Hub、GitHub Actions、OpenVSX、Jenkins 插件等分发渠道

CI/CD 攻击

滥用 pull_request_target、GitHub Actions cache poisoning、Runner 内存读取、OIDC token 抽取

凭据窃取

收集 GitHub/npm/PyPI token、云凭据、SSH 密钥、K8s token、Vault token、数据库密码

横向传播

使用被盗 token 枚举可发布包并重新发布恶意版本，形成蠕虫式扩散

多通道外传

使用 typosquat 域名、Cloudflare Tunnel、ICP Canister（Internet Computer Protocol 上的链上容器/智能合约服务，可被攻击者用作可轮换的 dead-drop C2）、GitHub release asset、GitHub dead drop、Session 网络

持久化

systemd --user、macOS LaunchAgent、Python .pth、IDE hook、GitHub token monitor daemon

地下协作

与数据泄露、访问交易、论坛悬赏和勒索变现网络形成协作关系

从破坏型勒索转向访问变现

其自述早期更接近加密勒索，后续转向凭据窃取、源码外传、发布权限滥用和访问售卖

供应链攻击不一定以业务中断作为第一目标；更常见的风险是凭据、代码、云访问和发布权限被持续变现。

优先攻击高价值开发链路

材料中反复强调 GitHub 权限、发布令牌、云凭据和大型组织访问价值

企业需要把 CI/CD、包发布账号、开发者终端和云身份视为同一条高价值攻击链，而不是割裂治理。

访问交易生态化

访谈提到与数据泄露论坛、访问经纪和其他团伙协作，说明其并不依赖单一团队完成全部变现环节

一次供应链入侵可能很快进入地下访问交易、源码售卖或勒索网络，响应重点应包括凭据轮换、代码访问审计和外泄监测。

防御建议具有反向验证价值

其提到依赖版本冷却期（对新发布包设置延迟准入窗口）、制品哈希锁定、细粒度发布令牌、限制 IDE 插件来源等措施

这些建议与防守方实践高度重合，说明攻击者实际利用的正是依赖解析、制品完整性、发布权限和开发者工具链中的默认信任。

AI 是效率放大器而非唯一核心

访谈中承认使用 AI 辅助，但也强调攻击链设计依赖对供应链机制的理解

AI 会降低恶意代码生成、混淆和变种迭代门槛，但真正的风险仍来自攻击者对 CI/CD、包管理器和云身份机制的系统性理解。

初始访问

获取发布或仓库权限

被盗 npm/PyPI/Docker Hub token、GitHub PAT、服务账号、pull_request_target 误用

Trivy、KICS、LiteLLM、TanStack

执行

在可信构建或安装流程中运行恶意代码

npm 生命周期脚本、PyPI .pth、GitHub Action、OpenVSX 插件、Docker 镜像、Actions cache

CanisterWorm、LiteLLM、KICS、TanStack

凭据收集

收集开发、CI/CD 与云环境中的 secrets

环境变量、SSH key、.npmrc、Docker 配置、K8s token、Vault、Runner 内存

Trivy、KICS、Mini Shai-Hulud

外传

将凭据或扫描结果传出受害环境

HTTP POST、GitHub release asset、GitHub dead drop、Cloudflare Tunnel、ICP Canister、Session 网络

Trivy、KICS、TanStack

横向传播

利用被盗权限感染更多包或仓库

枚举可发布包、注入生命周期脚本、重新发布恶意版本

CanisterWorm、Mini Shai-Hulud

持久化

维持后续访问

systemd --user、macOS LaunchAgent、Python .pth、IDE hook、GitHub token monitor

Trivy、KICS、LiteLLM、TanStack

被盗发布令牌

npm PyPI Docker Hub token

LiteLLM、Telnyx、Bitwarden CLI、KICS Docker Hub 等事件均体现发布权限被滥用。

GitHub 凭据

PAT、服务账号、aqua-bot、cx-plugins-releases

可用于覆盖 tag、创建恶意 workflow、推送 commit 或触发 CI。

Pwn Request

pull_request_target + fork 代码执行

TanStack 中，fork PR 代码进入 base repo 的信任边界并污染 Actions cache。

npm 生命周期

preinstall、postinstall、prepare

安装即执行，是 CanisterWorm 与 Mini Shai-Hulud 的核心入口。

PyPI 自动执行

.pth、模块导入、__init__.py

LiteLLM 通过 .pth 扩大触发面；Lightning 在 import lightning 时启动后台线程。

GitHub Action

action.yaml、entrypoint.sh、setup.sh

Trivy / KICS 在下游 CI Runner 中执行凭据窃取逻辑。

插件市场

OpenVSX VS Code Jenkins

插件激活或加载时执行恶意逻辑，直接接触开发者环境。

缓存投毒

Actions cache / pnpm store

TanStack 中，PR 侧缓存被 release workflow 恢复并触发恶意执行。

本地开发环境

环境变量、.env、Shell history、SSH key、Git 凭据

攻击者重点寻找长期有效 token 与本地私钥。

包管理器

.npmrc、PyPI/Twine 配置、registry token

可用于重新发布恶意包，扩大供应链影响面。

容器与 CI/CD

Docker config、GitHub Actions secrets、Runner 内存

多起事件读取 /proc/<pid>/mem，从 Runner.Worker 中提取 secret 或 OIDC token。

云平台

AWS、GCP、Azure 凭据

AWS 侧常见枚举包括 IAM、EC2、Lambda、RDS、Route 53、S3、Secrets Manager、ECS。

Kubernetes / Vault

Service Account token、kubeconfig、Vault token

KICS 与 Mini Shai-Hulud 均体现对云原生环境的持续关注。

浏览器与钱包

浏览器密码、MetaMask、Phantom、Solana、Ethereum 等

后期变种开始扩展到浏览器凭据和加密钱包数据。

自传播

读取 npm token → 枚举可发布包 → 注入恶意脚本 → bump 版本 → 发布

维护者账号会变成传播节点，单个 token 可影响多个包。

OIDC 发布滥用

从 Runner 内存提取 OIDC token，直接向 npm registry 发起发布

不需要窃取长期 npm token，也可完成恶意发布。

加密外传

AES-256-CBC + RSA-4096 / RSA-OAEP，加密后打包为 tpcp.tar.gz

即使拦截流量，也难以直接还原内容。

多通道 C2

Typosquat 域名、Cloudflare Tunnel、ICP Canister、GitHub dead drop、Session 网络

单一域名封禁效果有限。

主机持久化

sysmon.py、pgmon、gh-token-monitor、LaunchAgent

凭据轮换后仍可能被二次窃取。

IDE / 仓库持久化

.vscode/tasks.json、.claude/settings.json、恶意仓库文件

用户打开项目或启动 IDE 即可能再次触发。

凭据窃取器

TeamPCP Cloud Stealer

扫描 CI/CD 与开发者侧 secrets 并外传

npm 蠕虫

CanisterWorm

自动注入 optionalDependencies 实现链式扩散

Linux 后门

sysmon.py + systemd unit

用户态长期驻留，监控 GitHub token 与 Vault

PyPI 注入器

LiteLLM .pth / Telnyx WAV 隐写

Python 启动时自动加载，stage-2 隐写在合法资源中

蠕虫变种

Mini Shai-Hulud / TanStack 变种

复用 Shai-Hulud 思路，叠加 PCP 公钥外传

2025 年底

TeamPCP 相关活动开始被公开资料持续关注

早期围绕开发者基础设施、云环境、供应链投毒和访问售卖活动展开

后续事件显示其目标从单次入侵逐步转向"凭据—发布权限—供应链扩散"的连续作战模式。

2026-02-27

Aqua 相关早期 Pwn Request 事件

MegaGame10418 利用 Pwn Request 获取 aqua-bot PAT

后续被认为可能为 Trivy / Aqua 二次入侵埋下伏笔。

2026-03-19 17:43:37

Trivy v0.69.4 tag 被推送并触发恶意 release

伪造提交身份、恶意 checkout、Runner 内存读取、AES/RSA 加密、sysmon.py、Cloud Stealer

恶意 Trivy 二进制发布到 GitHub Releases、Docker Hub、GHCR、ECR。

2026-03-19 至 03-20

trivy-action 与 setup-trivy tag 被覆盖

trivy-action 75/76 个 tag、setup-trivy 7 个 tag 被指向恶意版本

下游使用浮动 tag 的 GitHub Actions 工作流暴露。

2026-03-20

Socket 披露 CanisterWorm

npm 自传播、ICP Canister C2、pgmon / systemd user 持久化

初始涉及 @emilgroup 与 @teale.io/eslint-config 等包。

2026-03-21

CanisterWorm 影响扩大

影响扩大到 135 个恶意包构件、64+ 独立包

npm publish token 被用于枚举和批量发布，蠕虫式扩散特征明显。

2026-03-22 约 16:00

恶意 Trivy 镜像发布到 Docker Hub

恶意 0.69.5、0.69.6 镜像；Aqua 内部仓库被公开

攻击从 GitHub release / Actions 扩展到容器镜像分发链。

2026-03-23 12:53

Checkmarx OpenVSX 扩展出现恶意版本

ast-results v2.53.0、cx-dev-assist v1.7.0 被投毒

IDE / 插件市场进入攻击面。

2026-03-23 12:58

KICS GitHub Action 投毒

35 个 tag 被指向恶意 commit；K8s Pod 持久化、云凭据收集

与 Trivy 事件存在基础设施和 TTP 重叠。

2026-03-24

LiteLLM PyPI 投毒

恶意 litellm 1.82.7/1.82.8；Python .pth 注入实现解释器启动执行

GitHub 源码与 PyPI 制品不一致，暴露"源码可信不等于制品可信"。

2026-03-27

Telnyx Python SDK 投毒

telnyx 4.87.1/4.87.2；WAV 隐写投递、平台差异 payload、Windows Startup 持久化

无对应 GitHub tag，指向 PyPI 发布链被绕过。

2026-04-22 12:31:35 至 12:59:46

KICS Docker Hub 镜像出现恶意版本

污染 latest、alpine、debian、v2.1.20、v2.1.21 等 tag

恶意 KICS 保留扫描功能，同时外传 IaC 扫描结果。

2026-04-22

Bitwarden CLI npm 分发短时污染

@bitwarden/cli@2026.4.0 被投毒

影响窗口期通过 npm 安装 CLI 的用户。

2026-04-22

Namastex / CanisterSprawl 波次披露

@automagik/genie、pgserve 等受影响

CanisterWorm 系列继续扩散，体现跨包横向传播能力。

2026-04-22 14:17:59 至 15:41:31

checkmarx/ast-github-action 恶意版本

恶意 2.3.35 发布

Checkmarx 相关攻击继续沿 GitHub Action 扩展。

2026-04-22 13:06 至 17:48 / 21:20

Checkmarx VS Code Marketplace / OpenVSX 后续版本

ast-results 2.63/2.66、cx-dev-assist 1.17/1.19 等

插件市场与开发者终端风险扩大。

2026-04-25

LAPSUS$ 公开发布 Checkmarx 相关数据

被窃数据公开 / 售卖

Checkmarx 事件从投毒扩大到数据泄露与地下变现。

2026-04-29

Wiz 披露 Mini Shai-Hulud 攻击 SAP npm 包

凭据窃取、自传播、GitHub dead drop（建仓 / Release Asset / commit 暂存外传）、IDE 配置投毒

@cap-js/sqlite、@cap-js/postgres、@cap-js/db-service、mbt 等受影响。

2026-04-30 12:45:20 至 13:27:30

PyPI lightning 2.6.2/2.6.3 可被安装

import lightning 后台线程、Bun、约 11MB 混淆 JS payload

PyTorch Lightning 官方称暴露 42 分钟；GitHub 源码仓库未被篡改。

2026-04-30 15:20

Mini Shai-Hulud 范围更新

新增 intercom-client@7.0.5 与 PyPI lightning@2.6.2/2.6.3

攻击跨 npm 与 PyPI，payload 使用 zero.masscan.cloud 与 GitHub fallback。

2026-05-09 至 05-10

Jenkins Marketplace 出现恶意 Checkmarx AST Scanner

恶意 Checkmarx AST Scanner 2026.5.09

Checkmarx 事件进一步扩展到 Jenkins 插件分发渠道。

2026-05-10 至 05-11

TanStack 攻击准备

fork zblgg/configuration，通过 pull_request_target 执行恶意代码并污染 GitHub Actions cache

为后续 OIDC token 获取和 npm 发布做准备。

2026-05-11 19:20 / 19:26

TanStack 波次恶意版本发布

cache poisoning、Runner 内存 OIDC token 提取、trusted publishing 绕过、Session 网络外传、gh-token-monitor

共 42 个 @tanstack/* 包、84 个恶意版本；未窃取 npm token。

2026-05-12

Wiz 披露 TeamPCP 同步攻击 TanStack、UiPath、Mistral、guardrails-ai

npm / PyPI 同步投毒；guardrails-ai@0.10.1、mistralai@2.4.6 等

显示 TeamPCP 具备多命名空间、多生态并发操作能力。

2026-05-12 至 05-14

Shai-Hulud 源码公开与供应链攻击竞赛

攻击者公开工具链，并在地下论坛发起"供应链攻击比赛"；规则要求使用 Shai-Hulud worm

攻击框架被第三方快速复用，供应链攻击门槛下降。

2026-05-18 后

Megalodon 等自动化扩散

大规模自动化仓库植入与软件包污染

公开资料称 6 小时内对 5561 个 GitHub 项目发起 5718 次恶意代码植入。

2026-05-19

AntV / GitHub Actions / VSCode 扩展波次

@antv/* npm 包、actions-cool/* GitHub Actions、nrwl.angular-console v18.95.0；Bun 二阶段、GitHub orphan commit payload、kitty 后门

开发者工具链攻击同时覆盖 npm、GitHub Actions 和 VSCode 扩展。

2026-05-19 15:08 至 15:16

durabletask GitHub 侧活动

攻击者访问 microsoft/durabletask-python，从 GitHub secrets 获取 PyPI token

为后续 PyPI 直发恶意包奠定条件。

2026-05-19

PyPI durabletask 1.4.1/1.4.2/1.4.3 被投毒

rope.pyz、AWS SSM 传播、K8s 横向、密码管理器暴力解锁、shell history 窃取

Microsoft Durable Task Python SDK 受影响；payload 演进自 guardrails-ai / Mini Shai-Hulud 变种。

2026-05-21 前后

GitHub / Grafana 泄露追溯到 TanStack / Nx Console 链路

GitHub 员工安装恶意 Nx Console 扩展导致凭据被窃；Grafana 也追溯到 TanStack npm 供应链攻击

GitHub 约 3,800 个私有仓库被外传；Grafana 代码库被窃并遭勒索。

2026-06-01

Red Hat / Miasma 披露

至少 32 个 @redhat-cloud-services/* 包出现未授权修改；新增 Azure / GCP 云身份收集器

平均周下载量约 8 万；归因上应表述为 TTP 重叠，不能排除 copycat。

2026-06-01 10:53 / 13:44

Red Hat 账号被用于推送恶意 orphan commits

frontend-components、javascript-clients、platform-frontend-ai-toolkit；oidc-* 分支；id-token: write workflow

恶意 workflow 请求 OIDC token 并发布带有效 provenance 的 npm 包。

2026-06-04 09:20

Miasma 新波次更新

binding.gyp 武器化，在安装阶段触发恶意代码

延续 Mini Shai-Hulud / Miasma 技术路线。

2026-06-05 16:00:50 至 16:02:35

GitHub 禁用 73 个 Microsoft 相关仓库

涉及 Azure、Azure-Samples、microsoft、MicrosoftDocs 四个组织；Azure/functions-action 等导致下游 CI/CD 中断

该事件与 Miasma / durabletask 的关系仍属公开迹象下的关联研判，暂不作为确认归因。

2026-06-06

Microsoft 仓库禁用事件公开分析

Phoenix Security 等将 durabletask 复合风险、Miasma Azure/GCP collector 与 GitHub 自动执法行为并列讨论

适合作为 TeamPCP 技术路线外溢和自动化治理风险的后续观察。

源码与发布包不一致

LiteLLM、Telnyx、Lightning、durabletask 均显示 GitHub 源码干净不代表 PyPI 包安全。

浮动引用风险高

GitHub Action tag、Docker tag、npm semver、VSCode 扩展自动更新都可能被攻击者利用。

CI Runner 是高价值目标

Runner 同时接触源码、secret、发布权限和云环境，是多起攻击的凭据收集核心。

合法平台被滥用

GitHub、Docker Hub、npm、PyPI、OpenVSX、Jenkins、Session 网络均被用于执行或外传。

凭据驱动扩散

攻击者拿到发布 token、PAT、OIDC token 后，可迅速进入更多包、仓库和云环境。

公开工具链催化复制

Shai-Hulud / Mini Shai-Hulud 公开后，Miasma、Megalodon 等后续活动显示第三方可快速复用攻击模板。

GitHub Actions

Trivy、KICS、TanStack、Red Hat / Miasma、Microsoft Azure repos

tag 覆盖、恶意 workflow、pull_request_target 误用、cache poisoning、Runner 内存提取、OIDC token 滥用、仓库禁用导致、仓库禁用导致 CI/CD 中断 CI/CD 中断

workflow 权限、Action 引用方式、cache 来源、id-token: write 使用范围、异常 release / tag、依赖 Azure/functions-action 等第三方 Action 的流水线

npm

CanisterWorm、Bitwarden CLI、SAP、TanStack、AntV、Red Hat、UiPath、Mistral

preinstall postinstall prepare 自动执行、发布 token 滥用、trusted publishing 边界不清、自传播

lockfile、生命周期脚本、异常 patch 版本、scope 发布记录、maintainer token 权限

PyPI

LiteLLM、Telnyx、Lightning、durabletask、guardrails-ai、mistralai

wheel 与源码不一致、.pth 自动执行、模块导入触发、PyPI 凭据被滥用、恶意 payload、恶意 payload 横向到云与 横向到云与 K8s K8s

wheel/sdist 与 Git tag 比对、.pth 文件、短时发布版本、pip install 构建日志、PyPI token 存放位置

Docker Hub / 镜像仓库

Trivy、KICS

浮动 tag 被覆盖、镜像 digest 与源码构建不一致、私有缓存保留恶意镜像

digest pinning、镜像 provenance、pull-through cache、CI runner 本地镜像缓存

OpenVSX VS Code Jenkins

Checkmarx 插件、Nx Console、Jenkins AST Scanner

插件激活即执行、IDE/CI 插件接触开发者凭据和源码

插件版本、下载来源、自动更新策略、开发者机器扩展缓存

云环境

AWS、GCP、Azure、Kubernetes、Vault

CI/CD 或开发者凭据被盗后进行资源枚举、secret 读取和横向移动；Miasma durabletask 增强云身份收集与传播能力；Miasma durabletask 增强云身份收集与传播能力

CloudTrail、K8s audit、Vault audit、Secrets Manager 访问、ECS K8s 异常操作、Azure CLI managed identity 访问记录、Azure CLI / managed identity 访问记录

AI / LLM 工具链

LiteLLM、Mistral、guardrails-ai、Lightning、Azure AI samples、Azure AI samples、Claude Code hook

AI 工具常连接多个模型 API、Agent/MCP 工具运行在高权限开发环境

模型 API key、Agent 配置、MCP 服务依赖、.claude/ 与 .vscode/ 自动执行配置

开发者终端

SSH key、GitHub token、npm/PyPI token、云 CLI 配置、浏览器凭据和 1Password / Vault 等本地会话可能被窃取。

CI/CD 流水线

Runner 内存、OIDC token、deployment secret、registry token 成为核心目标；第三方 Action 下架或禁用还可能造成构建中断。

包发布链

被盗 token、trusted publisher 或 GitHub secrets 或 GitHub secrets 可导致合法包发布恶意版本。

镜像与插件分发链

浮动 tag、VSCode 扩展、Jenkins 插件和私有缓存可能让恶意制品在短窗口后继续存在。

云原生环境

K8s Service Account、Vault token、Secrets Manager、ECS SSM managed identity SSM managed identity 成为横向移动入口。

地下变现链路

被盗源码、仓库访问、云凭据和发布权限可被作为地下市场商品继续交易。

GitHub Actions

pull_request_target、id-token: write、浮动 Action 引用、异常 cache、/proc/*/mem、Runner.Worker、异常 orphan commit / workflow

Pwn Request、cache poisoning、OIDC token 窃取、发布链绕过

npm / PyPI

lockfile、生命周期脚本、.pth 文件、wheel 与 Git tag 差异、短时恶意版本、binding.gyp / Bun loader

安装即执行、发布链绕过、自传播

Docker / Registry

Trivy / KICS 相关 tag、镜像 digest、pull-through cache、CI runner 本地镜像

浮动 tag 被覆盖、恶意镜像缓存残留

开发者终端

sysmon、pgmon、gh-token-monitor、kitty-monitor、.vscode/、.claude/、LaunchAgent

持久化、IDE hook、凭据二次窃取

网络外联

scan.aquasecurtiy.org、checkmarx.zone、models.litellm.cloud、git-tanstack.com、*.getsession.org、*.raw.icp0.io、check.git-service.com、m-kosche.com

C2、dead drop、数据外传

云与 K8s

AWS IAM EC2 Lambda S3 Secrets Manager / ECS、K8s nodes、Vault token

云凭据验证、资源枚举、横向移动

发布链

npm/PyPI/Docker Hub 发布历史、异常 patch 版本、无对应 Git tag 的版本、发布者身份变化

发布权限被滥用

插件市场

OpenVSX、VS Code Marketplace、Jenkins 插件版本与来源

IDE / CI 插件投毒

Wiz

Trivy Compromised by TeamPCP

https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack

Wiz

KICS GitHub Action Compromised: TeamPCP Supply Chain Attack

https://www.wiz.io/blog/teampcp-attack-kics-github-action

Wiz

LiteLLM TeamPCP Supply Chain Attack: Malicious PyPI Packages

https://www.wiz.io/blog/threes-a-crowd-teampcp-trojanizes-litellm-in-continuation-of-campaign

Wiz

Supply Chain Campaign Targets SAP npm Packages with Credential-Stealing Malware

https://www.wiz.io/blog/mini-shai-hulud-supply-chain-sap-npm

Wiz

Mini Shai-Hulud Strikes Again: TanStack + more npm Packages Compromised

https://www.wiz.io/blog/mini-shai-hulud-strikes-again-tanstack-more-npm-packages-compromised

Socket.dev

CanisterWorm: npm Publisher Compromise Deploys Backdoor Across 29+ Packages

https://socket.dev/blog/canisterworm-npm-publisher-compromise-deploys-backdoor-across-29-packages

Socket.dev

Namastex.ai npm Packages Hit with TeamPCP-Style CanisterWorm Malware

https://socket.dev/blog/namastex-npm-packages-compromised-canisterworm

Docker

Trivy, KICS, and the shape of supply chain attacks so far in 2026

https://www.docker.com/blog/trivy-kics-and-the-shape-of-supply-chain-attacks-so-far-in-2026/

LiteLLM

Security Update: Suspected Supply Chain Incident

https://docs.litellm.ai/blog/security-update-march-2026

GitHub Issue

LiteLLM Issue #24512

https://github.com/BerriAI/litellm/issues/24512

GitHub Issue

Telnyx Python SDK Issue #235

https://github.com/team-telnyx/telnyx-python/issues/235

Checkmarx

Ongoing Checkmarx Supply Chain Security Incident

https://checkmarx.com/blog/ongoing-security-updates/

Bitwarden

Bitwarden Statement on Checkmarx Supply Chain Incident

https://community.bitwarden.com/t/bitwarden-statement-on-checkmarx-supply-chain-incident/96127

GitHub Issue

Bitwarden CLI Issue #20353

https://github.com/bitwarden/clients/issues/20353

Lightning AI

PyTorch Lightning Supply Chain Attack

https://lightning.ai/blog/pytorch-lightning-supply-chain-attack

TanStack

Postmortem: TanStack npm supply-chain compromise

https://tanstack.com/blog/npm-supply-chain-compromise-postmortem

Rami McCarthy

Incident Timeline: TeamPCP Supply Chain Campaign

https://ramimac.me/teampcp/

scan.aquasecurtiy[.]org

C2 / typosquat 域名

Trivy

45.148.10.212

IP

Trivy C2

tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io

ICP Canister C2

Trivy / CanisterWorm

tdtqy-oyaaa-aaaae-af2dq-cai

ICP Canister ID

CanisterWorm

plug-tab-protective-relay.trycloudflare.com

Cloudflare Tunnel

Aqua 凭据外传

checkmarx[.]zone

C2 / 外传域名

KICS / LiteLLM

83.142.209.11

IP

checkmarx[.]zone

models.litellm[.]cloud

外传域名

LiteLLM

83.142.209.203

IP

Telnyx

83.142.209.203:8080/ringtone.wav

Payload URL

Telnyx Linux/macOS

83.142.209.203:8080/hangup.wav

Payload URL

Telnyx Windows

audit.checkmarx[.]cx

外传域名

KICS Docker Hub

checkmarx.cx

域名

Checkmarx 后续公告

updates.checkmarx.cx

域名

Checkmarx 后续公告

91.195.240.123

IP

Checkmarx 后续公告

94.154.172.43

IP

Checkmarx / Mini Shai-Hulud

94.154.172.183

IP

Checkmarx 后续公告

zero.masscan.cloud

域名

Mini Shai-Hulud

telemetry.api-monitor[.]com

域名

Namastex / CanisterSprawl

cjn37-uyaaa-aaaac-qgnva-cai.raw.icp0[.]io/drop

ICP C2

Namastex / CanisterSprawl

git-tanstack[.]com

C2 / typosquat 域名

TanStack / Mini Shai-Hulud

git-tanstack[.]com/tmp/transformers.pyz

PyPI 变种载荷 URL

Mistral / guardrails-ai

https://litter.catbox.moe/h8nc9u.js

二阶段载荷 URL

TanStack

https://litter.catbox.moe/7rrc6l.mjs

二阶段载荷 URL

TanStack

filev2.getsession.org

Session 文件服务器

TanStack

seed1.getsession.org

Session seed

TanStack

seed2.getsession.org

Session seed

TanStack

seed3.getsession.org

Session seed

TanStack

83.142.209[.]194

IP

TanStack Python 变种

tpcp.tar.gz

多事件

被盗数据归档名

~/.config/systemd/user/sysmon.py

Trivy

持久化脚本

~/.config/systemd/user/sysmon.service

Trivy / KICS

systemd 用户服务

/root/.config/sysmon/sysmon.py

KICS / K8s

节点后门

/root/.config/systemd/user/sysmon.service

KICS / K8s

节点持久化服务

/tmp/pglog

Trivy / CanisterWorm

下载执行路径

/tmp/.pg_state

CanisterWorm

状态文件

~/.local/share/pgmon/service.py

CanisterWorm

Python dropper

~/.config/systemd/user/pgmon.service

CanisterWorm

systemd 用户服务

litellm_init.pth

LiteLLM

Python 启动自动执行

p.py

LiteLLM

写入磁盘的 payload

telnyx/_client.py

Telnyx

被注入恶意代码

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\msbuild.exe

Telnyx

Windows 持久化

setup.mjs

Mini Shai-Hulud

Bun 下载器

execution.js

Mini Shai-Hulud

主 payload

.claude/execution.js

Mini Shai-Hulud

Claude Code 持久化

.claude/setup.mjs

Mini Shai-Hulud

Claude Code 下载器

.claude/settings.json

Mini Shai-Hulud

SessionStart hook

.vscode/tasks.json

Mini Shai-Hulud

VS Code folderOpen 触发

.vscode/setup.mjs

Mini Shai-Hulud

VS Code 下载器

router_init.js

TanStack

约 2.3MB 混淆 payload

router_runtime.js

TanStack / Lightning

运行时 artifact

tanstack_runner.js

TanStack

运行时 artifact

start.py

Lightning

恶意 Python 入口文件

~/Library/LaunchAgents/com.user.gh-token-monitor.plist

TanStack

macOS 持久化

~/.config/systemd/user/gh-token-monitor.service

TanStack

Linux 持久化