深度分析 SLSA provenance 被濫用:Mini Shai‑Hulud 如何突破 CI/CD 防線並竊取憑證 本文報導一起自5月11日爆發的供應鏈攻擊:惡意程式透過有效的SLSA來源證明與被濫用的OIDC發行權限,結合工作流程快取汙染與孤立提交技巧,將惡意持久化寫入開發者專案(含AI代理設定),竊取各類憑證並在嘗試撤銷時觸發破壞性刪除,擴散至npm與PyPI生態。
