快科技5月25日消息，今日，国家网络安全通报中心发文称，监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。

新京报讯 据国家网络安全通报中心消息，监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。当开发者安装恶意依赖包后，程序会自动在本地主机、CI/CD流水线环境执行恶意代码，窃取GitHub Token、np ...

安全公司Aikido Security在分析报告中指出，今年针对npm供应链的攻击呈现出令人担忧的趋势："这已经是我们追踪到的第三次大规模攻击浪潮。从4月份波及少数几个 SAP 包，到TanStack事件波及169个包，再到此次影响范围更大的一批包，每一次攻击都比上一次更快、更广。" ...

今年不到半年时间，npm已经连续爆出多起重量级供应链攻击。 前段时间 axios被投毒， 随后 TanStack大面积污染， 而就在昨天，又连续爆出两起重量级供应链攻击： 大量 @antv相关 npm 包被植入恶意代码，涉及数百个包、数百个恶意版本。 恶意代码就会自动运行。 它还会尝试利用窃取到的 npm / GitHub权限继续传播恶意包。 是否存在最近升级的 AntV 相关异常版本。 相关访问 ...

IT之家 3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 axios@1.14.1、axios@0.30.4 被恶意植入远程控制代码。 IT之家在此援引 StepSecurity，黑客劫持了 Axios 核心维护者“jasonsaayman”的 npm 账号，将邮箱替换为匿名的 ProtonMail ...

安全研究机构StepSecurity近日披露，知名Java库Axios的两个npm版本——axios@1.14.1和axios@0.30.4，遭黑客植入恶意代码。此次攻击通过劫持核心维护者“jasonsaayman”的npm账号实施，黑客将账号邮箱替换为匿名ProtonMail地址后，绕过GitHub Actions自动化流程，手动发布了被污染 ...