NPM 又被投毒盗用户密钥了,影响 posthog, postman 等包
名叫 Shai Hulud 的第二波恶意代码攻击,会通过 NPM preinstall 生命周期脚本执行恶意代码盗取各类 token 和密钥,并通过创建 GitHub Actions 文件来泄露。
看了一下很多周下载量超百万的包都中招了,如 @zapier/zapier-sdk ,@posthog/core ,@asyncapi/specs ,@postman/tunnel-agent 等。
详细报告: https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
https://www.v2ex.com/t/1174775
名叫 Shai Hulud 的第二波恶意代码攻击,会通过 NPM preinstall 生命周期脚本执行恶意代码盗取各类 token 和密钥,并通过创建 GitHub Actions 文件来泄露。
看了一下很多周下载量超百万的包都中招了,如 @zapier/zapier-sdk ,@posthog/core ,@asyncapi/specs ,@postman/tunnel-agent 等。
详细报告: https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
https://www.v2ex.com/t/1174775
