安全机构报告 NPM 大规模投毒事件影响超 300 个组件与 2 万余 GitHub 仓库
疑似 Shai-Hulud 升级版,已波及 300+ 组件和 2 万+ GitHub 仓库。攻击者通过伪装为 Bun 配置的恶意脚本,在新版本执行时运行 TruffleHog 扫描本地环境,窃取 NPM Token、云服务凭据和 GitHub secrets,并自动用盗取的凭证发布被篡改的新版本,形成蠕虫式供应链传播。Zapier、Postman、PostHog 生态高下载量组件已受影响,其中包括周下载量超 260 万次的
墨菲安全实验室
🍀在花频道 🍵茶馆 📮投稿新鲜事
疑似 Shai-Hulud 升级版,已波及 300+ 组件和 2 万+ GitHub 仓库。攻击者通过伪装为 Bun 配置的恶意脚本,在新版本执行时运行 TruffleHog 扫描本地环境,窃取 NPM Token、云服务凭据和 GitHub secrets,并自动用盗取的凭证发布被篡改的新版本,形成蠕虫式供应链传播。Zapier、Postman、PostHog 生态高下载量组件已受影响,其中包括周下载量超 260 万次的
@zapier/zapier-sdk。墨菲安全实验室
🍀在花频道 🍵茶馆 📮投稿新鲜事
