一个复杂的蠕虫于2026年5月19日在不到40分钟内感染了639个npm包,影响了约1600万次每周下载。该恶意软件源自一个被攻破的npm账户,不仅窃取了云和数据库系统的凭证,还利用GitHub Actions获得了发布新包的权限。此次攻击的一个显著特点是其持久化机制,它在Claude Code和VS Code等开发环境中安装钩子,以及一个“死亡开关”,如果被攻破的令牌被吊销,则会删除用户数据。 AI
影响 此次攻击凸显了软件供应链中的关键漏洞,特别是涉及开发者工具和代码执行环境。
排序理由 文章描述了一次针对npm包和开发者工具的复杂恶意软件攻击,详细介绍了其传播和持久化机制。
在 dev.to — Claude Code tag 阅读 →
- @antv
- AWS
- Azure
- Claude Code
- Cursor
- echarts-for-react
- GitHub
- GCP
- jest-canvas-mock
- Kubernetes
- timeago.js
- VS Code
- Windsurf
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →