名叫 Shai Hulud 的第二波恶意代码攻击,会通过 NPM preinstall 生命周期脚本执行恶意代码盗取各类 token 和密钥,并通过创建 GitHub Actions 文件来泄露。
看了一下很多周下载量超百万的包都中招了,如 @zapier/zapier-sdk ,@posthog/core ,@asyncapi/specs ,@postman/tunnel-agent 等。
详细报告: https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
 |
1
asd999cxcx 17 小时 31 分钟前 via Android
利好 deno
|
 |
2
wangtian2020 10 小时 11 分钟前
感染的都是什么野鸡包
|
 |
3
CodeCodeStudy 10 小时 8 分钟前
npm 的问题是很多包都太小了,有的就几行代码,导致有非常多的依赖,容易被利用
|
 |
4
darksheepgod 8 小时 52 分钟前
沙虫可还行
|
 |
5
pythonee 7 小时 19 分钟前
有个好奇,开源仓库不做安全检查吗
|
Select Language