This topic created in 161 days ago, the information mentioned may be changed or developed.
名叫 Shai Hulud 的第二波恶意代码攻击,会通过 NPM preinstall 生命周期脚本执行恶意代码盗取各类 token 和密钥,并通过创建 GitHub Actions 文件来泄露。
看了一下很多周下载量超百万的包都中招了,如 @zapier/zapier-sdk ,@posthog/core ,@asyncapi/specs ,@postman/tunnel-agent 等。
详细报告: https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
 |
1
asd999cxcx Nov 25, 2025 via Android
利好 deno
|
 |
2
wangtian2020 Nov 25, 2025
感染的都是什么野鸡包
|
 |
3
CodeCodeStudy Nov 25, 2025
npm 的问题是很多包都太小了,有的就几行代码,导致有非常多的依赖,容易被利用
|
 |
4
darksheepgod Nov 25, 2025
沙虫可还行
|
 |
5
pythonee Nov 25, 2025
有个好奇,开源仓库不做安全检查吗
|
Select Language