知名开源依赖包 “node-ipc” 突遭恶意投毒,定向收割开发者凭证
开源供应链今日再度拉响警报,在 npm 社区中拥有庞大下载量的 node-ipc 依赖包遭遇了最新的”投毒”污染。
恶意行为:黑客成功获得了该项目的发布权限,并在新发布的版本中注入了高度混淆的凭证窃取代码(Credential-Stealing Malware)。该后门专门针对开发者的本地环境变量(ENV)以及 SSH 密钥进行定向收割。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
