重大警报!NPM 生态系统遭受大规模供应链攻击
2025-09-16
超过40个npm包,包括热门的@ctrl/tinycolor包(每周下载量超过200万),遭到恶意攻击。攻击者利用自传播机制,感染下游依赖包,造成级联式破坏。攻击载荷是一个Webpack打包的脚本,窃取AWS、GCP、GitHub等云凭据和敏感信息,并通过GitHub Actions建立持久性后门。攻击已造成大范围的凭据泄露,建议立即检查受影响的包并旋转所有凭据。
开发