名叫 Shai Hulud 的第二波恶意代码攻击,会通过 NPM preinstall 生命周期脚本执行恶意代码盗取各类 token 和密钥,并通过创建 GitHub Actions 文件来泄露。
看了一下很多周下载量超百万的包都中招了,如 @zapier/zapier-sdk ,@posthog/core ,@asyncapi/specs ,@postman/tunnel-agent 等。
详细报告: https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
 |
1
asd999cxcx 1 天前 via Android
利好 deno
|
 |
2
wangtian2020 1 天前
感染的都是什么野鸡包
|
 |
3
CodeCodeStudy 1 天前
npm 的问题是很多包都太小了,有的就几行代码,导致有非常多的依赖,容易被利用
|
 |
4
darksheepgod 23 小时 15 分钟前
沙虫可还行
|
 |
5
pythonee 21 小时 42 分钟前
有个好奇,开源仓库不做安全检查吗
|
Select Language