安全机构报告 NPM 大规模投毒事件影响超 300 个组件与 2 万余 GitHub 仓库#

疑似 Shai-Hulud 升级版，已波及 300+ 组件和 2 万+ GitHub 仓库。攻击者通过伪装为 Bun 配置的恶意脚本，在新版本执行时运行 TruffleHog 扫描本地环境，窃取 NPM Token、云服务凭据和 GitHub secrets，并自动用盗取的凭证发布被篡改的新版本，形成蠕虫式供应链传播。Zapier、Postman、PostHog 生态高下载量组件已受影响，其中包括周下载量超 260 万次的 @zapier/zapier-sdk 。

墨菲安全实验室