安全研究人员发现,JavaScript代码保护工具jscrambler的npm包8.14.0版本遭遇供应链攻击。该版本在preinstall钩子中植入了针对多平台的原生信息窃取器,涵盖Windows、macOS和Linux。该恶意钩子在npm install时自动执行,远在任何代码导入之前。攻击者通过分离构建确保各平台精准感染。建议开发者立即停止使用该版本,检查依赖并报告异常活动。🔗 原文链接:https://x.com/XavierRiveraX/status/2076021161503174953
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END







