人民财讯5月25日电,国家网络安全通报中心监测发现,全球主流JavaScript软件包管理平台npm遭“沙虫”(Shai-Hulud)供应链投毒攻击。攻击者攻陷了npm官方维护者账户,并在短时间内批量投放大量恶意软件包,涉及300余个独立程序包的600余个恶意版本,影响多个热门开源项目。当开发者安装恶意依赖包后,程序会自动在本地主机、CI/CD流水线环境执行恶意代码,窃取GitHub Token、npm Token、云服务密钥、SSH私钥、Kubernetes凭据、数据库连接字符串等敏感信息。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的npm发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。
国家网络安全通报中心:主流JavaScript软件包管理平台npm遭供应链投毒攻击
IP属地 中国·北京
证券时报 时间:2026-05-25 16:16:12
免责声明:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其内容真实性、完整性不作任何保证或承诺。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
全站最新
热门推荐
- REDMI Note 17 Pro评测:小金刚品质再升级,长续航抗摔防水样样行
- 小米工程师怒斥:AI造谣抹黑未上市新车,商业竞争岂能如此无底线?
- META 租赁算力:并非算力紧缺,意在公有云
- 现职及前员工起诉Meta,指控其利用人工智能裁员存在歧视行为
- B站没买成,字节没谈拢,这栋楼为什么最终被新浪40亿拿下了?
- 高德地图,为什么做不好本地生活?
- “ChatGPT实体”来袭!OpenAI首款硬件浮出水面:无屏幕智能音箱定位“AI伴侣”,苹果诉讼或成最大变数
- 小米新媒体高级工程师谈澎程未上市就遭恶意抹黑:毒瘤不除,人人自危
- 谷歌DeepMind CEO哈萨比斯呼吁美国牵头建立全球AI监管机构
- 消息称DeepSeek筹备IPO,最快今年内提交上市申请
- OpenAI首度回应苹果诉讼:相信公平竞争,未发现任何证据
- OpenAI首款硬件曝光:无屏幕智能音箱 定位家庭AI伴侣
- 横跨94℃温差、挑战5380米高原!小米澎程428万公里路测揭秘
- 便携式x射线设备在轨完成诊断成像
- 美国法院裁定苹果无需为iCloud用户上传内容担责,328亿美元CSAM集体诉讼被驳回





京公网安备 11011402013531号