精选理由
npm 生态这次被大规模投毒,波及面极广,前端和 AI 开发者如果近期安装过依赖,建议立即排查——恶意代码能自动窃取云密钥和 GitHub Token,还会横向传播到其他包,不处理可能影响整个开发环境。
国家网络安全通报中心预警,npm 平台遭“沙虫”供应链投毒攻击,攻击者攻陷官方维护者账户,批量投放 600 余个恶意版本,涉及 300 余个独立程序包。恶意代码在安装后自动窃取 GitHub Token、云密钥、SSH 私钥等敏感信息,并具备蠕虫式自我复制能力,可篡改并二次发布受害者名下的其他包。受影响项目包括 echarts-for-react、@antv 系列核心库、TanStack 系列 42 个包、Mistral AI 相关 PyPI 包等。前端开发者、AI/ML 开发者、开源维护者及企业研发人员均面临风险,建议立即隔离设备、排查依赖、更换凭证。
AI 翻译 · 中文
国家网络安全通报中心预警,npm 平台遭“沙虫”供应链投毒攻击,攻击者攻陷官方维护者账户,批量投放 600 余个恶意版本,涉及 300 余个独立程序包。恶意代码在安装后自动窃取 GitHub Token、云密钥、SSH 私钥等敏感信息,并具备蠕虫式自我复制能力,可篡改并二次发布受害者名下的其他包。受影响项目包括 echarts-for-react、@antv 系列核心库、TanStack 系列 42 个包、Mistral AI 相关 PyPI 包等。前端开发者、AI/ML 开发者、开源维护者及企业研发人员均面临风险,建议立即隔离设备、排查依赖、更换凭证。
IT之家 5 月 25 日消息,国家网络安全通报中心今日发布预警,称监测发现,全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击。 攻击者攻陷了 npm 官方维护者账户 ,并在短时间内批量投放大量恶意软件包, 涉及 300 余个独立程序包的 600 余个恶意版本 ,影响多个热门开源项目。 据介绍,当开发者安装恶意依赖包后,程序会自动在本地主机、CI / CD 流水线环境执行恶意代码,…