删了毒包也没用：MiniShai-Hulud波及TanStack、OpenSearch和Mistral客户端

据 动察 Beating 监测，一款名为「Mini Shai-Hulud」（《沙丘》中的沙虫）的窃密蠕虫正在横扫前端和 AI 后端生态。攻击者 TeamPCP 在 5 月 12 日凌晨 3:20 至 3:26（UTC+8）劫持了 TanStack 官方发布流水线，向 npm 推送了 42 个官方包的 84 个恶意版本，包括千万级周下载量的 @tanstack/react-router。随后蠕虫跨界扩散至 PyPI，最新受害名单包括亚马逊 @opensearch-project/opensearch（npm，周下载 130 万次）、Mistral 官方客户端 mistralai 和 AI 护栏工具 guardrails-ai（均为 PyPI）。

恶意包看起来和正规发布完全一样。攻击者没有窃取任何长期凭证，而是利用 GitHub Actions 配置漏洞劫持官方流水线，拿到合法的临时发布权限。恶意包因此获得了真实的 SLSA 构建来源签名（provenance，一种证明「包确实由官方流水线产出」的防伪标签）。开发者过去赖以信任的「有签名 = 安全」逻辑被完全绕过。

更要命的是，卸载毒包远远不够。Socket.dev 逆向分析显示，蠕虫安装后会在后台把自己写入 Claude Code 的执行钩子（.claude/settings.json）和 VS Code 的任务配置（.vscode/tasks.json）。即便毒包已被删除，只要开发者之后打开项目目录或唤醒 AI 助手，恶意代码就会自动复活。Python 侧触发门槛更低：开发者甚至无需调用任何函数，只要 import 受感染的包就会静默激活窃密。

TeamPCP 在分发载荷的伪造域名 git-tanstack[.]com 上直接挂出嘲讽留言：「我们已经在线偷了两个多小时凭证了，不过我就是来打个招呼 :^)」。蠕虫仍在自传播扩散。在上述窗口期安装过受影响包的机器应按已失陷处理：立即轮换 AWS、GitHub、npm、SSH 等全部凭据，彻查 .claude/ 和 .vscode/ 目录，从干净 lockfile 重新安装。