名叫 Shai Hulud 的第二波恶意代码攻击,会通过 NPM preinstall 生命周期脚本执行恶意代码盗取各类 token 和密钥,并通过创建 GitHub Actions 文件来泄露。
看了一下很多周下载量超百万的包都中招了,如 @zapier/zapier-sdk ,@posthog/core ,@asyncapi/specs ,@postman/tunnel-agent 等。
详细报告: https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
 | 1 asd999cxcx 20 小时 25 分钟前 via Android 利好 deno |
 | 2 wangtian2020 13 小时 5 分钟前 感染的都是什么野鸡包 |
 | 3 CodeCodeStudy 13 小时 2 分钟前 npm 的问题是很多包都太小了,有的就几行代码,导致有非常多的依赖,容易被利用 |
 | 4 darksheepgod 11 小时 46 分钟前 沙虫可还行 |
 | 5 pythonee 10 小时 14 分钟前 有个好奇,开源仓库不做安全检查吗 |
Select Language