据慢雾安全团队称,6月25日出现了一种新型Shai-Hulud/Miasma/Hades npm恶意软件变种,通过受损的开发者账户czirker针对npm生态系统。攻击利用预配置的binding.gyp文件在npm install期间执行恶意代码。截至目前,已确认有23个受影响包,其中leo-logger记录每周下载量为3,140次。该团队发现了408个包含被盗凭据的GitHub仓库。攻击者可以窃取GitHub令牌、npm令牌、AWS/GCP/Azure凭据,并导出本地环境数据,从而通过npm供应链进一步传播。
免责声明:本页面信息可能来自第三方,仅供参考,不代表 Gate 的观点或意见,亦不构成任何财务、投资或法律建议。数字资产交易风险较高,请勿仅依赖本页面信息作出决策。具体内容详见
声明。
