triconinfotech/shai-hulud-malicious-packages

# 🪱📦 Shai-Hulud：恶意 NPM 包数据库     

**Shai-Hulud** 是一个自主威胁情报引擎，它从 OSV 获取已确认的**恶意 NPM 包 advisory（公告）**，并将其整合到一个持续更新的、机器可读的 JSON 数据库中。 它的存在是为了让自动化扫描器、CI pipeline（流水线）和供应链监控系统能够依赖**单一的、确定性的情报文件**，而不是单独解析数百个 OSV advisory。 ## 📦 本仓库提供的内容 * 一个**统一的 JSON 数据库** [`malicious_npm_packages.json`](https://github.com/hemachandsai/shai-hulud-malicious-packages/blob/main/malicious_npm_packages.json)，包含所有已知的恶意 NPM 包及其对应版本，并附有 advisory 元数据，每 30 分钟自动更新一次。 * 该文件作为一个紧凑的“恶意包签名数据库”，可直接输入到扫描器和安全工具中。 ## 🔥 为什么存在这个项目 OSV 和相关源发布高质量的恶意包 advisory —— 但格式并不便于自动化、扫描器或监控系统直接使用。 本仓库通过提供以下内容解决了这个问题： - 统一的、版本感知的恶意包 JSON 索引 - 确定性和规范化的结构 - 频繁的自动更新 它为将恶意包情报集成到自动化工具中提供了**尽可能简单的接口**。 ## 📊 数据库统计 整合后的数据库当前包含： - 已添加的恶意包总数：11797 该值由 CI 工作流在每次刷新运行时通过解析 `malicious_npm_packages.json` **自动更新**。 ### 🛑 免责声明 此工具标记的某些包可能并不特定属于 Shai-Hulud 蠕虫。 这是预期行为。 由于 advisory 存在不一致、延迟和碎片化的情况，我们倾向于安全优先。此处标记的任何包都显示出已确认的恶意行为，即使它源自不同的供应链事件。 扫描器故意使用更广泛的检测标准，以避免遗漏新出现的变体或未报告的恶意版本。 ## 🔗 使用数据库 只需使用： `malicious_npm_packages.json` 我们会自动将大型整合 JSON 文件拆分为多个约 2 MB 的较小块，以确保每个部分都保持在 GitHub 的索引限制以内（每个文件约 5 MB）。这使得所有恶意包条目都可以通过 GitHub 的代码搜索功能进行完全搜索，同时仍然保留完整的数据集以供编程使用。 用途包括： - 拒绝列表 - 恶意包签名文件 - 自动化扫描器的输入 - CI/CD 供应链安全控制 不需要使用本仓库中的任何内部代码。 ## 📜 Changelog.md 所有新恶意包或新恶意版本的检测都会被简要记录，这提供了一个简单的按时间顺序的审计追踪，记录了恶意 NPM 活动的演变过程。 ## 📥 数据来源 本仓库中的所有恶意包情报均源自上游源： - **OpenSSF OSV – Malicious Packages** https://github.com/ossf/malicious-packages 本仓库**不更改或重新解释** advisory —— 它仅对其进行**聚合、规范化和整合**，以便于自动化友好地使用。 ## 🤝 贡献 欢迎贡献，特别是关于： - 额外的威胁情报源

标签：CI/CD安全, DevSecOps, Homebrew安装, JSON数据库, Llama, NPM安全, OSV, Shai-Hulud, Vercel, 上游代理, 包管理器安全, 威胁情报, 开发者工具, 恶意包, 持续更新, 文档安全, 结构化查询, 自动化安全, 自定义脚本, 软件开发工具包