安全团队慢雾发布警报称,npm 生态系统出现与被盗用开发者账号 czirker 关联的新型 Shai‑Hulud / Miasma / Hades 恶意软件变种。该攻击通过预置的 binding.gyp 文件在 npm install 过程中触发恶意代码。已确认受影响的软件包共 23 个,其中 leo‑logger 每周下载量高达 3140 次。截至发布时,已发现 408 个包含被盗凭据的受感染 GitHub 仓库。潜在攻击行为包括 GitHub token 盗取、npm token 盗取、AWS、GCP、Azure 云凭证窃取、本地环境数据外泄、恶意滥用 GitHub Actions 工作流以及通过 npm 供应链进一步扩散。慢雾建议安全团队立即检查锁定文件与软件包历史记录,降级或移除受影响的包,并轮换 npm、GitHub、云服务、CI/CD 及应用密钥,同时强制启用双因素身份验证(2FA)。
