SHA1-HULUD 蠕虫硬盘递归检测器

一场席卷 npm 生态的供应链攻击

2025 年 11 月，npm 生态系统遭受了一次大规模的供应链攻击 —— SHA1-HULUD pt 2。这次攻击影响了 288+ 个流行的 npm 包，包括：

PostHog 全家桶 (@posthog/*, posthog-node)

Zapier 包 (@zapier/*)

AsyncAPI 工具链 (@asyncapi/*)

Postman 相关包 (@postman/*)

ENS Domains (@ensdomains/*, ethereum-ens)

MCP 包 (mcp-use, @mcp-use/*)

以及更多...

如果你的项目依赖了这些包，你的敏感信息可能已经泄露：GitHub tokens、AWS 凭证、NPM tokens、API keys 等等。

🛡️ 解决方案：SHA1-HULUD Scanner（递归扫描增强版）

SHA1-HULUD Scanner 是一个专门用于检测 SHA1-HULUD pt 2 攻击的 bash 扫描工具。

在原版的基础上，我添加了递归扫描功能（v2.2，https://github.com/zhaokang555/sha1-hulud-scanner ），使其能够一次性扫描整个目录树中的所有 Node.js 项目，极大地提升了扫描效率和覆盖范围。

✨ 核心特性

🆕 递归扫描，一键搞定（v2.2 新增）

原版只能逐个扫描项目，现在

使用 -r 递归模式，可以一次性扫描整个目录下的所有 Node.js 项目（默认递归深度为5，可以通过 -d 参数修改）：

# 扫描整个用户主目录

./sha1-hulud-scanner.sh -r ~

# 扫描工作目录下的所有项目

./sha1-hulud-scanner.sh -r ~/Projects

# 扫描工作目录下的所有项目，并自定义深度为 4 层

./sha1-hulud-scanner.sh -r -d 4 ~/Projects

递归模式的优势：

💼 批量检查工作项目 - ~/Projects 下几十个项目一次搞定

🏠 全盘安全检查 - 扫描整个用户目录，不遗漏任何项目

📊 综合报告 - 自动汇总所有项目的扫描结果

🛡️ 容错设计 - 某个项目扫描失败不影响其他项目

🚀 快速开始

安装

推荐：v2.2 增强版（支持递归扫描）

# 克隆增强版（包含递归扫描功能）

git clone git@github.com:zhaokang555/sha1-hulud-scanner.git

cd sha1-hulud-scanner

chmod +x sha1-hulud-scanner.sh

使用

递归扫描多个项目

# 扫描当前目录下的所有项目

./sha1-hulud-scanner.sh -r .

# 扫描指定目录

./sha1-hulud-scanner.sh -r ~/Projects

# 扫描整个用户主目录

./sha1-hulud-scanner.sh -r ~

📊 实际效果展示

递归模式汇总报告

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

📊 SCAN SUMMARY

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Total projects scanned: 50

✅ Clean projects: 49

🚨 Compromised projects: 1

⚠️ Failed scans: 0

🚨 Compromised Projects:

• /Users/username/work/legacy-project

🔧 技术实现

扫描原理

阶段 1-3：模式匹配

使用正则表达式在不同的文件中搜索受感染的包名：

package.json 中的 dependencies 和 devDependencies

node_modules 目录结构

各种锁文件格式（包括二进制的 bun.lock）

阶段 4：特征检测

SHA1-HULUD 攻击的一个特征是恶意包名称中包含 "sha1"，扫描器会：

提取所有包含 "sha1" 的包名

与已知的合法包列表对比

标记可疑的包

递归扫描架构

用户调用: ./sha1-hulud-scanner.sh -r ~/Projects

↓

find_all_projects() # 查找所有 package.json 文件

↓

validate_project() # 验证每个项目

↓

scan_all_projects() # 批量扫描循环

├─ scan_single_project(project1) # 4阶段扫描

├─ scan_single_project(project2) # 容错：失败不中断

└─ scan_single_project(project3)

↓

print_summary() # 综合报告

├─ 统计信息（总数、干净、受感染、失败）

├─ 受感染项目列表

├─ 失败项目列表

└─ 修复建议

↓

exit_with_code() # 返回正确的退出码