一个复杂的蠕虫于2026年5月19日在39分钟内感染了637个npm包,影响了约1600万次每周下载。该恶意软件源自一个被攻陷的npm账户,不仅窃取了云环境和开发人员工具的凭证,还利用GitHub Actions获得了进一步的npm发布访问权限,实现了自我传播。值得注意的是,此次攻击通过在Claude Code和VS Code等工具中安装钩子来针对开发人员环境,并包含了一个“死亡开关”,用于在被盗令牌被撤销时删除用户文件。 AI
影响 此次攻击凸显了AI开发工具和软件供应链不断演变的威胁态势。
排序理由 这是一份关于针对开发工具和包的恶意软件攻击报告,而非新的模型发布或核心AI研究。
在 dev.to — Claude Code tag 阅读 →
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →