Breakingcircuitsllc/teampcp_shai_hulud.yar
GitHub: Breakingcircuitsllc/teampcp_shai_hulud.yar
针对 TeamPCP/Shai-Hulud 供应链攻击活动的 YARA 检测规则集,覆盖 beacon 通信、死人开关持久化、C2 基础设施和蠕虫传播等关键指标。
Stars: 0 | Forks: 0
# TeamPCP / Shai-Hulud YARA 规则
## 检测内容
- 主要活动 beacon 字符串(GitHub 死节点提交信息)
- 死人开关持久化痕迹(`gh-token-monitor`)
- PBKDF2 活动 salt(`svksjrhjkcejg`)—— 独特的恶意软件指纹
- PyPI 第二阶段持久化(`pgsql-monitor`)
- C2 基础设施指标
- 蠕虫传播标记
## 威胁行为者档案
| 属性 | 值 |
|-----------|-------|
| 组织 | TeamPCP |
| 别名 | DeadCatx3, PCPcat, ShellForce, CipherForce |
| 活跃时间 | 2026 年 3 月起 |
| 攻击活动 | Shai-Hulud: Here We Go Again |
| 生态系统 | npm, PyPI, GitHub |
| 以往目标 | LiteLLM, Aqua Trivy, Bitwarden CLI, SAP CAP, TanStack, Mistral AI, UiPath, OpenSearch, Guardrails AI |
## 快速扫描
```
# 扫描目录
yara teampcp_shai_hulud.yar /path/to/scan
# 扫描 npm cache
yara teampcp_shai_hulud.yar ~/.npm
# 扫描 Claude Code 和 VS Code 目录
yara teampcp_shai_hulud.yar ~/.claude ~/.vscode
# 递归扫描 node_modules
yara -r teampcp_shai_hulud.yar ./node_modules
```
## ⚠️ 严重警告
**在消除潜在受感染机器上的死人开关之前,请勿撤销 GitHub token。** Token 撤销会通过后台轮询守护进程触发 `rm -rf ~/`。
请先消除威胁:
```
# Linux
systemctl --user stop gh-token-monitor.service
systemctl --user disable gh-token-monitor.service
rm -rf ~/.local/bin/gh-token-monitor.sh ~/.config/gh-token-monitor/
# macOS
launchctl bootout "gui/$(id -u)" \
~/Library/LaunchAgents/com.user.gh-token-monitor.plist
rm ~/Library/LaunchAgents/com.user.gh-token-monitor.plist
rm -rf ~/.local/bin/gh-token-monitor.sh ~/.config/gh-token-monitor/
```
然后轮换所有凭据。
## 相关资源
- 完整 IoC 列表及威胁报告:[breakingcircuits.com](https://breakingcircuits.com)
- CVE:[CVE-2026-45321](https://nvd.nist.gov/vuln/detail/CVE-2026-45321)
- GHSA:[GHSA-g7cv-rxg3-hmpx](https://github.com/advisories/GHSA-g7cv-rxg3-hmpx)
- JFrog 研究:[Shai-Hulud: Here We Go Again](https://jfrog.com/blog/shai-hulud-here-we-go-again)
- TanStack 事后分析:[tanstack.com/blog](https://tanstack.com/blog/npm-supply-chain-compromise-postmortem)
- 通过 HackerOne 披露:[hackerone.com/breakingcircuit](https://hackerone.com/breakingcircuit)
*Breaking Circuits LLC — 通过 AI 和开源技术保障市政与关键基础设施的安全。弗吉尼亚州,普拉斯基。*
标签:AMSI绕过, C2基础设施, CISA项目, CVE-2026-45321, Deadman开关, DNS信息、DNS暴力破解, IoC指标, meg, npm, PyPI, Shai-Hulud, TeamPCP, YARA规则, 供应链攻击, 信息安全, 后门, 威胁检测, 密码学指纹, 开源生态, 数据展示, 漏洞响应, 红队, 网络信息收集, 蠕虫传播