IT资源栈安全机构披露了一起针对 NPM 生态的严重供应链攻击。攻击者通过劫持 TanStack 维护者账户,成功向 42 个相关软件包中注入了恶意代码,其中周下载量超 1200 万次的 @tanstack/react-router 受到严重影响。该恶意脚本旨在窃取开发者的云密钥、SSH 凭证及 GitHub 令牌。尽管 TanStack 是主要目标,但 Mistral AI 和 UiPath 等科技巨头也确认受到波及。此次事件(代号 “mini-shai-hulud”)再次敲响开源安全警钟,建议开发者立即更新依赖并轮换敏感凭证。
原文链接:V2EX 分享发现
评论前必须登录!
立即登录 注册