#npm
共 6 篇相关内容 · 安全漏洞、AI动态、技术文章
情报动态 6
security_alert 🟢
GitHub将在npm 12中默认禁用安装脚本以防供应链攻击
GitHub宣布npm 12将默认关闭install脚本,阻断通过npm生命周期钩子执行恶意代码的供应链攻击手法。这是应对近期供应链攻击激增的重大架构性变革。
security_alert 🟢
GitHub默认禁用npm安装脚本以遏制供应链攻击
GitHub宣布将默认禁用npm包的安装脚本(preinstall/postinstall),这是针对npm生态系统供应链攻击频发的防御措施。开发者需显式信任才能启用脚本执行。该变更将分阶段实施,预计影响数百万开源项目。
安全 🔴
Bitwarden CLI 供应链攻击 — npm包植入恶意代码
Bitwarden CLI 2026.4.0版本(2026-04-22 21:57Z至23:30Z期间从npm获取)被发现内嵌恶意代码,与Checkmarx供应链事件相关。该时间窗口内下载的CLI工具可能被注入后门,影响密码管理器的命令行操作安全。
安全 🔴
Nx Console 供应链投毒 — npm恶意版本窃取凭证
Nx Console(Nrwl NX开发工具)被发现包含嵌入式恶意代码,恶意版本通过混淆payload从磁盘和内存中窃取多种来源的凭证。该漏洞已被确认用于勒索软件攻击,开发者应立即检查所使用的Nx Console版本。
安全 🔴
Bitwarden CLI 供应链攻击 — npm 包嵌入恶意代码
Bitwarden CLI 2026.4.0 版本在 npm 发布期间(2026-04-22)被发现嵌入恶意代码,与 Checkmarx 供应链安全事件相关。该恶意代码在约10分钟的窗口期内存在于 npm 包中,使用该版本的开发者可能已暴露敏感凭证。事件凸显 npm 生态供应链安全风险。
安全 🔴
CVE-2026-45321: TanStack npm供应链攻击 - 凭据窃取恶意软件 (CVSS 9.6)
TanStack被发现恶意版本发布至npm注册表,以可信身份传播凭据窃取恶意软件。供应链攻击典型事件,CVSS 9.6,影响广泛。