网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报,在开源工具库 TanStack、Mistral AI、UiPath 等 160 多个软件包被植入恶意代码,能窃取 AWS、GCP、GitHub 令牌和 SSH 密钥这些敏感信息。攻击者通过 GitHub Actions 的 OIDC 令牌漏洞绕过了双重验证,开发者和企业需要马上轮换所有密钥、清理可疑文件,还要检查仓库里有没有未授权的提交。
标签:#npm
Created by RocM
官方频道:@rocCHL
官方群组:@roctech
官方合作:@rocmmbot
via XP Digital Lab - Telegram Channel (author: RocM 不私聊任何人“小心骗子”)
