圈小蛙
npm爆发大规模供应链攻击:TanStack生态遭投毒,攻击者植入“自毁型”蠕虫
攻击者利用 GitHub Actions 的安全漏洞,在 42 个 npm 官方包中植入了名为 "mini-shai-hulud" 的恶意蠕虫。该恶意软件不仅能窃取 AWS、GCP 云密钥及 GitHub 令牌,还具有“蠕虫式”自我传播能力...
标签:npm
警惕!Bitwarden CLI 官方 npm 包遭供应链攻击:CI/CD 管道被投毒,包含针对性“自毁开关”
攻击者通过劫持 GitHub Action 自动化流程,向合法包中注入了名为 bw1.js 的后门,旨在窃取开发者的云凭证及 GitHub 令牌。
黑客为了窃取加密货币,劫持数十亿下载的npm软件包
黑客劫持了每周下载量达20亿次的18个npm包,植入恶意软件,通过重定向钱包交易来窃取加密货币。