技术栈
npm组件投毒
墨菲安全
6 天前
npm
·
软件供应链安全
·
npm组件投毒
SHA1HULUD蠕虫再现:超300NPM包被投毒、 2万仓库信息被窃取
2025年11月24日,墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒,这些包在NPM仓库中发布的新版本仿冒引入Bun运行时,引入 preinstall: node setup_bun.js,以及混淆的 bun_environment.js 文件。
墨菲安全
5 个月前
前端
·
npm
·
node.js
·
npm组件投毒
·
主机敏感信息窃取
·
恶意npm包
NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息
当用户安装受影响版本的 @ivy-shared-components/iconslibrary 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
墨菲安全
5 个月前
前端
·
npm
·
node.js
·
软件供应链安全
·
主机信息窃取
·
npm组件投毒
NPM组件 betsson 等窃取主机敏感信息
当用户安装受影响版本的 betsson 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。
我是有底线的