犯罪分子向 npm 注入超 15 万个垃圾包以挖取 TEA 代币#

亚马逊安全研究人员发现了一起被称为”开源注册表历史上最大规模包洪水事件之一”的供应链攻击。攻击者在 npm 注册表中注入了超过 15 万个恶意包，但与传统恶意软件不同，这次攻击专门用于挖取 平台的 TEA 代币。 这些恶意包含有自我复制代码，能够自动生成和发布新包来赚取加密货币奖励，同时包含链接到攻击者控制的区块链钱包地址的 tea.yaml 文件。亚马逊研究人员警告，此类攻击不仅消耗注册表资源、降低开源社区信任度，还可能激发类似的金融驱动型自动化包生成攻击。

The Register