40 npm Packages Compromised in Supply Chain Attack Using bundle.js to Steal Credentials
研究人员发现针对npm registry的软件供应链攻击,影响40多个包。恶意脚本bundle.js被注入到受感染包中,用于扫描开发者机器上的敏感信息(如GitHub令牌、NPM令牌、AWS密钥)并将其传输到攻击者控制的服务器。该攻击还可利用GitHub Actions在存储库中创建持久化工作流以持续窃取数据。同时,Rust生态系统也遭遇钓鱼邮件攻击,模仿crates.io诱导用户泄露GitHub凭证。