PANews 12月29日消息，慢雾科技首席信息安全官23pds发布安全预警，NPM供应链攻击的最新变种“Shai-Hulud3.0”再次来袭，请各项目方和平台注意防范，此前怀疑Trust Wallet API key泄露可能为Shai-Hulud 2.0攻击导致。Shai-Hulud是一系列针对NPM生态的自传播蠕虫式供应链攻击，用于窃取开发者凭证、云密钥和环境秘密。最新变种（社区称为Shai-Hulud 3.0或新strain）于2025年12月28日被Aikido Security研究员Charlie Eriksen发现，目前传播范围有限，可能仅为测试阶段。