根據慢霧安全團隊的說法,6 月 25 日出現的新變種 Shai-Hulud/Miasma/Hades npm 惡意軟體,透過遭入侵的開發者帳號 czirker 鎖定 npm 生態系統。此攻擊利用預先配置的 binding.gyp 檔案,在執行 npm install 時執行惡意程式碼。截至今日,已確認 23 個受影響的套件,其中 leo-logger 每週下載量達 3,140 次。團隊識別出 408 個 GitHub 儲存庫含有遭竊取的憑證。攻擊者可竊取 GitHub token、npm token、AWS/GCP/Azure 憑證,並外洩本地環境資料,進一步透過 npm 供應鏈進行擴散。
免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱
免責聲明。
