📰 本频道不定期推送科技数码类新资讯,欢迎关注!
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
©️ 发布的内容不代表本频道立场,和你意见不一样的话欢迎在评论区留言表达,但请注意言辞,面斥不雅。
‼️ 关联群组定期清理不活跃成员和僵尸号,误封请联系管理员。
🔗 博客: https://yummy.best
💬 群组: @GodlyGroup
📬 投稿: @GodlyNewsBot
🪧 广告合作: @yummybest_bot.
官方建议macOS 用户在6月12日前更新其官方应用程序
OpenAI针对近期发生的针对热门开源库TanStack的“Mini Shai-Hulud”供应链攻击事件发布声明表示,在监测到此次针对多款常用npm软件包的恶意攻击后,安全团队已迅速排查了内部系统,目前尚未发现任何用户数据被泄露或非法访问的证据。
OpenAI指出,虽然其核心服务未受直接破坏,但为了确保本地环境的安全,所有使用其官方应用程序的macOS用户须在2026年6月12日前完成软件更新。
黑客利用流程漏洞直接在 NPM 注册表中发布 87 个包含恶意代码的安装包,所幸此次供应链攻击被发现的比较及时,恶意安装包持续大约 2 小时后被撤销。
黑客部署的恶意代码主要用来窃取开发环境中的各类敏感凭据,例如 GitHub 令牌、AWS 令牌以及其他各类环境的凭据,有开发者发现攻击载荷会在路径 ~/.local/bin/ 中预留名为 gh-token-monitor.sh 的脚本。
这个脚本主要是用来轮询检测 GitHub 令牌是否有效,脚本被作为 systemd 用户服务或 LaunchAgent com.user.gh-token-monitor 运行,脚本会每隔 60 秒使用已经窃取的令牌轮询 https://api.github.com/user 检测令牌有效性。
如果检测到令牌被撤销 (返回 HTTP 4xx 错误代码),则脚本会执行高危命令 rm -rf ~/ 用来删除当前环境中所有可被删除的文件,这可能导致整个开发环境被破坏,甚至导致操作系统都受到影响。
根据 JFrog 和 Socket 的最新发现,Bitwarden 的命令行工具(CLI)在一起新发现且仍在进行的 Checkmarx 供应链攻击中被入侵。
应用安全公司表示,受影响的软件包版本似乎为
@bitwarden/cli@2026.4.0,恶意代码出现在包含在包内的名为“bw1.js”的文件中。这次攻击似乎利用了 Bitwarden CI/CD 管道中被入侵的 GitHub Action,行为模式与本次活动中其他受影响的代码仓库相同。
在 X 上的一篇帖子中,JFrog 表示该恶意版本的软件“会窃取 GitHub/npm 的令牌、.ssh 文件、.env 文件、历史命令记录、GitHub Actions 和云密钥,然后将数据泄露到私有域名以及 GitHub 的提交记录中。”
虽然现在已经无法从 npm 下载到该恶意版本,但 Socket 表示这次入侵使用的仍是与 Checkmarx 活动中发现的相同的 GitHub Actions 供应链攻击手法。
在这次攻击中,威胁方利用被盗的 GitHub 令牌注入了一个新的 GitHub Actions 工作流程。该工作流程会窃取运行期间可用的密钥和凭证,并用获取到的 npm 凭证将被篡改的恶意版本包发布到 npm,从而把恶意软件传播给下游用户。
安全研究员阿德南·汗表示,攻击者利用一个恶意的工作流发布了带有恶意代码的 Bitwarden CLI。他补充道:“我认为这是首次出现利用 NPM 的受信任发布机制来入侵软件包的情况。”
据推测,名为“TeamPCP”的攻击者是此次针对 Checkmarx 发起的最新攻击的幕后黑手。截至本文撰写之时,“TeamPCP”的 X 账号因违反平台规则已被暂停使用。
OX 安全公司在对此次攻击的详细分析中表示,他们在该包裹中发现了“Shai-Hulud: The Third Coming”这一字符串,这表明这很可能就是去年曝光的供应链攻击行动的下一阶段。
