-
npm 遭遇“沙虫”供应链投毒:超 600 个恶意版本波及前端/AI 项目,开发者应立即自查
2026 年 5 月 25 日,国家网络安全通报中心发布紧急预警:全球主流 JavaScript 包管理平台 npm 遭到代号为“沙虫”(Shai‑Hulud)的供应链投毒攻击。攻击者攻陷了 npm 官方维护者账户,在短时间内批量投放了超过 600 个恶意软件包版本,影响 300 余个独立程序包,并已波及 echarts‑for‑react、@antv 系列、TanStack 系列等众多热门开源项…- 119
- 0
-
Xinference 供应链投毒风险通告:2.6.0-2.6.2 版本被植入恶意代码,可窃取云凭证与密钥
2026年4月23日,腾讯云安全中心监测到 AI 模型部署工具 Xinference 的 PyPI 包(版本 2.6.0、2.6.1、2.6.2)存在供应链投毒风险。攻击者通过入侵合法贡献者账户,在初始化文件中植入了多层混淆的恶意载荷,可窃取云服务凭证、API 密钥、SSH 密钥、加密货币钱包及数据库连接串等敏感信息,并回传至远程 C2 服务器。使用受影响版本的用户系统应视为已被入侵。 一、 风险…- 63
- 0
-
供应链投毒攻击集中爆发:Apifox、LiteLLM、Axios 相继中招,开源生态拉响安全警报
4月10日,国家网络安全通报中心发布紧急预警:近期集中爆发多起供应链投毒攻击事件,攻击目标涵盖 API 研发工具 Apifox、Python 开发库 LiteLLM 及 JavaScript HTTP 库 Axios,涉及开源软件仓库和商用工具两大核心供应链场景。 风险蔓延至终端用户 三起事件中最值得关注的,是 Axios 投毒事件的"链式扩散"效应。Axios 作为前端领域使…- 2
- 0
