中新经纬5月25日电 微信号“国家网络安全通报中心”25日发文称,主流JavaScript软件包管理平台npm遭供应链投毒攻击。
监测发现,全球主流JavaScript软件包管理平台npm遭“沙虫”(Shai-Hulud)供应链投毒攻击。攻击者攻陷了npm官方维护者账户,并在短时间内批量投放大量恶意软件包,涉及300余个独立程序包的600余个恶意版本,影响多个热门开源项目。
当开发者安装恶意依赖包后,程序会自动在本地主机、CI/CD流水线环境执行恶意代码,窃取GitHub Token、npm Token、云服务密钥、SSH私钥、Kubernetes凭据、数据库连接字符串等敏感信息。
此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的npm发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。
主要受影响项目包括echarts-for-react、@antv系列核心库(@antv/g2、@antv/g6、@antv/x6等)、TanStack系列42个包、Mistral AI相关PyPI包以及timeago.js等社区包。受影响对象主要包括前端开发者、人工智能或机器学习开发者、开源项目维护者及企业研发人员等。
由于恶意软件具备蠕虫式传播能力,可自动重新发布受害者维护的其他包,导致共享开发环境的其他用户及依赖同一维护者发布的其他软件包的用户也可能面临间接感染风险。
处置建议提到五点:
一是隔离风险设备。若本地设备近期安装过相关受影响的npm依赖,建议暂停项目运行,并断开可疑设备网络连接,防止恶意代码继续外联。
二是排查依赖文件。检查package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目录,核实是否存在异常preinstall、postinstall等自动执行脚本。
三是清理残留痕迹。排查Claude Code hooks、VS Code任务配置等位置,检查是否存在router_runtime.js、setup.mjs等可疑文件,避免恶意代码在卸载依赖后继续残留。
四是更换敏感凭证。及时更新GitHub Token、npm Token、云服务密钥、SSH私钥、数据库密码等各类密钥与令牌,对关联账号执行“退出全部设备”操作。
五是提升安全意识。安装npm第三方依赖前,应核验项目官方来源、近期发布记录和脚本内容,不盲目安装热门包,优先选用安全稳定的官方版本。(中新经纬APP)
美国太平洋西北国家实验室的科学家设计了一种复合装饰材料,可以储存更多二氧化碳,提供了一种既符合建筑规范,又比标准复合饰面板便宜的“负碳”选择。研究人员于18日在美国化学会春季会议上公布 21世纪经济报道见习记者 顾婷婷 杭州报道如何让沉睡在实验室里的专利真正应用到车间,真正面向市场,转化为真正的新质生产力?3月19日,由国家知识产权局组织的高校和科研机构存量专利盘活 我国制氢加氢一体站建设有了团体标准。记者从中国石化获悉,为推动我国氢能交通产业发展,中国石化联合国内数十家氢能头部企业发布了国内首个《制氢加氢一体站技术指南》团体标准。该标准的制定 记者3月21日获悉,全球植物科学期刊《分子植物》刊载了中国科学家的最新研究,中国农业科学院作物科学研究所、国家南繁研究院与阿里达摩院(湖畔实验室)联合研发出全流程智慧育种平台,实现了育种数 3月23日消息,据媒体报道,iPhone与百度公司已达成合作协议,百度将为苹果内置的生成式人工智能大模型提供技术支持。报道指出,iPhone生成式人工智能大模型的合作伙伴包含谷歌、百度、OpenAI等公司。国 3月25日6时左右将迎来水星东大距。这是水星今年第二次大距、首次东大距,也是公众尝试观测水星的好机会。届时,水星位于太阳东边,与太阳张角约为18.7度。以北京地区为例,在日落时,水星地平高度约为 。本文链接:警惕!npm平台遭“沙虫”攻击,影响多个热门开源项目http://www.sushuapos.com/show-2-16378-0.html
声明:本网站为非营利性网站,本网页内容由互联网博主自发贡献,不代表本站观点,本站不承担任何法律责任。天上不会到馅饼,请大家谨防诈骗!若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
上一篇: 华为反手“韬”大招,芯片股涨“疯”了