据安全社区披露,一种名为Shai-Hulud的新型恶意软件近日大规模入侵了NPM生态,共计约500个npm开源包遭感染。专家指出,该木马在开发者无察觉的情况下被植入项目中,当受感染包被下载或运行时,Shai-Hulud会自动收集并窃取代码库中的敏感信息,随后通过GitHub泄露这些机密数据。
此次事件再次引发业界对开源供应链安全的高度关注,开发者被提醒需对依赖包来源和行为保持警惕,及时修补已知漏洞。安全研究人员正在持续追踪并协助受影响项目恢复安全状态。
据安全社区披露,一种名为Shai-Hulud的新型恶意软件近日大规模入侵了NPM生态,共计约500个npm开源包遭感染。专家指出,该木马在开发者无察觉的情况下被植入项目中,当受感染包被下载或运行时,Shai-Hulud会自动收集并窃取代码库中的敏感信息,随后通过GitHub泄露这些机密数据。
此次事件再次引发业界对开源供应链安全的高度关注,开发者被提醒需对依赖包来源和行为保持警惕,及时修补已知漏洞。安全研究人员正在持续追踪并协助受影响项目恢复安全状态。