#npm
10 articles
2026年4月下旬至5月中旬,ZCyberNews追踪到13篇关于npm生态系统的文章,其中8篇被评为严重级,4篇为高危级。威胁行为者TeamPCP、CanisterSprawl和mini Shai-Hulud被观察到针对全球软件开发、技术、人工智能、自动化和云服务领域。关键漏洞包括CVE-2026-41650和CVE-2026-44664,每个漏洞的CVSS评分为6.1。在此期间还记录了一起中等严重性事件。
MEDIUMfast-xml-builder 漏洞 CVE-2026-44664 通过三连破折号序列实现 XML 注入
CVE-2026-44664(CVSS 6.1)在 fast-xml-builder 中允许攻击者突破 XML 注释并注入任意内容;在版本 1.1.6 中修复。
HIGHOpenAI 在 TanStack 供应链攻击中被入侵
OpenAI 表示,在 TeamPCP Mini Shai-Hulud 活动中,两名员工的设备被入侵,迫使 macOS、Windows、iOS 和 Android 上的代码签名证书进行轮换。
CRITICALTeamPCP 劫持 TanStack CI/CD,污染 170+ NPM/PyPI 包
TeamPCP 利用三个 GitHub Actions 漏洞劫持 TanStack 的 CI/CD,发布了 42 个包中的 84 个恶意构件。
CRITICALMini Shai-Hulud 攻击劫持 SAP、Lightning、Intercom 包
攻击者在供应链攻击中破坏了 SAP、Lightning 和 Intercom npm 包,影响了 1800 名受害者;包每月下载量达 1000 万。
CRITICALSAP npm 包被劫持在窃取凭证的供应链攻击中
攻击者破坏了多个与SAP相关的npm包,部署窃取凭证的恶意软件,针对SAP BTP和云应用凭证。活动被称为迷你Shai-Hulud。
CRITICALAxios npm 供应链攻击分发跨平台 RAT
Elastic Security Labs 详细描述了 axios npm 包的供应链被破坏,部署了一个统一的跨平台 RAT,影响了未知数量的下游...
CRITICALBitwarden CLI 在 Checkmarx 供应链攻击中被入侵
JFrog 和 Socket 在 @bitwarden/[email protected] 中发现了恶意代码 —— 这是同一活动,劫持了 Checkmarx npm 包。
HIGHCanisterSprawl 蠕虫劫持 npm 包,窃取开发者令牌
根据 Socket 和…的说法,CanisterSprawl 供应链蠕虫劫持 npm 包,使用窃取的开发者令牌进行自我传播,并将数据外泄到 ICP canister。
CRITICALBitwarden CLI npm 包被劫持以窃取开发者凭证
攻击者发布了一个恶意的 @bitwarden/cli npm 包,该包窃取凭证并传播到其他项目。
CRITICALCISA 警告 Axios npm 包在供应链攻击中被入侵
CISA 提醒 Axios npm 包,每周下载量超过6000万次,在供应链攻击中被入侵,将恶意代码注入下游应用程序。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。