| npm | Shai-Hulud 2.0 | Sha1-Hulud | 蠕蟲 | Maven | Open VSX
NPM蠕蟲Shai-Hulud 2.0攻擊活動仍在持續,恐曝露40萬組開發機敏資料
針對NPM蠕蟲活動Shai-Hulud 2.0(Sha1-Hulud),資安業者Wiz公布最新調查結果,他們指出可能有40萬組憑證、權杖,以及金鑰曝險,其中超過六成NPM權杖仍有效
2025-12-03
| npm | 供應鏈攻擊 | GitHub | Maven
大規模蠕蟲攻擊Sha1-Hulud再掀波瀾,影響逾1千個NPM套件與2.7萬個GitHub儲存庫
9家資安業者提出警告,上週末Shai-Hulud蠕蟲再度現身NPM套件儲存庫,這次影響規模更為廣泛,攻擊者在3天內上傳逾1千個NPM套件,感染2.7萬個GitHub儲存庫,影響多款熱門NPM專案,此外,Maven Central也出現災情
2025-11-27
| npm | Tea加密貨幣 | Token Farming | IndonesianFoods
NPM蠕蟲套件規模擴大,攻擊者產生逾15萬套件,目的是牟取加密貨幣換取經濟利益
繼3家資安業者警告NPM出現蠕蟲程式IndonesianFoods,後續Amazon也表示他們觀察到類似的活動,並指出攻擊者的目標,就是設置設置代幣農場(Token Farming)來牟取經濟利益
2025-11-20
惡意NPM套件濫用雲端服務Adspect企圖躲過研究人員調查
歹徒過濾攻擊目標出現新手法,資安業者Socket揭露最新的NPM惡意套件攻擊活動,攻擊者透過名為Adspect的雲端服務,意圖區隔一般開發人員與資安研究人員,以防研究員介入調查
2025-11-18
| 軟體套件蠕蟲 | 蠕蟲 | npm | IndonesianFoods
蠕蟲程式IndonesianFoods橫行,已在NPM孳生逾10萬個套件,恐影響開源生態
NPM儲存庫出現惡意套件大量自我複製的現象,三家資安業者本週提出警告,指出一批惡意套件以7秒左右的速度不斷自我複製,迄今已產生超過10萬個,將對於NPM生態圈帶來嚴重危險
2025-11-14
| 竊資軟體 | npm | Typosquatting
資安業者Socket公布一批專門散布竊資軟體的NPM套件,這些套件同時針對Windows、macOS、Linux電腦而來,上架約4個月才被發現,主要原因在於,攻擊者透過4層混淆手法處理惡意酬載,使得相關檢測工具難以察覺異狀
2025-10-30
| npm | PhantomRaven | RDD | Typosquatting | AI幻覺 | Slopsquatting
惡意NPM套件攻擊PhantomRaven鎖定開發人員,意圖竊取NPM與GitHub憑證等CI/CD機密
惡意NPM套件埋藏惡意程式碼出現更隱密的手法!資安業者Koi Security揭露一起大規模攻擊行動PhantomRaven,並指出攻擊者將惡意內容存放於外部伺服器上的相依套件,使得大部分資安檢測工具難以察覺異狀
2025-10-30
| 軟體套件蠕蟲 | 供應鏈攻擊 | npm | Shai-Hulud | CrowdStrike | Nx | GitHub Actions
供應鏈攻擊兩天內急速擴散!逾500個NPM套件被植入具大量散播能力的蠕蟲
NPM套件供應鏈攻擊就連資安業者也無法倖免!資安業者Socket揭露大規模供應鏈攻擊Shai-Hulud,其中最引起關注的地方,在於資安業者CrowdStrike的帳號遭駭,導致該公司開發的套件受到影響
2025-09-18
| npm | 供應鏈攻擊 | qix | Josh Junon
總下載量每週達26億次的多款熱門NPM套件被植入惡意軟體,起因是開發者帳號遭奪取
又有NPM套件因開發者遭到網釣而面臨供應鏈攻擊的情況!本週套件開發人員Josh Junon(qix)證實因遭遇「NPM客服」網釣,導致旗下近20個套件被植入惡意軟體
2025-09-11
Aikido Security揭露駭客假冒NPM市集客戶支援部門,向眾多NPM套件開發者發送釣魚郵件以騙取憑證,並成功在至少18個熱門套件中植入惡意程式
2025-09-09
| Nx | npm | 供應鏈攻擊 | GitHub Actions | Nx Console
知名開源建置工具Nx遭植入惡意程式上架NPM,開發者憑證恐外洩
開源建置工具Nx惡意版本遭發布NPM,安裝即竊取憑證並上傳至GitHub儲存庫,還改寫終端機啟動檔,官方已下架並建議用戶檢查與清理環境
2025-08-28