AITP
精选全部 AI 动态AI 日报Agent 接入关于更新日志信源提报反馈
登录 / 注册
AITOP

Postinstall

共 1 条相关 AI 资讯
6月7日
16:03
16:03IT之家(博客/媒体)
精选
网络安全公司Socket发现黑客利用Postinstall自动安装脚本发起供应链攻击,已污染超过700个GitHub公开代码库。攻击者修改上游仓库的package.json脚本,当开发者安装依赖时自动下载恶意木马并保存为/tmp/.sshd文件伪装SSH进程。Socket建议开发者避免直接信任第三方依赖包,定期检查Composer包管理工具配置并审计自动执行脚本。
行业SocketGitHubPostinstall供应链攻击自动安装脚本

推荐理由:小心Postinstall脚本投毒
原文
精选全部日报登录