TrapDoor供应链攻击:为AI编码工具投毒的恶意包行动
Socket Security于2026年5月25日公开TrapDoor供应链攻击事件,涉及至少34个恶意软件包及384个版本,横跨npm、PyPI和Crates.io三大包管理器。攻击者通过postinstall钩子、零宽Unicode字符隐藏指令等方式窃取加密钱包、凭证与AI工具配置,并针对BrowserUse、LangChain等开源项目测试隐匿性,将攻击面延伸至AI编码编辑器。
标签: npm
GitHub再遭重大供应链攻击:Megalodon利用恶意Commit侵染超5500仓库
安全研究机构 SafeDep 发现超过 5500 个 GitHub 仓库遭 Megalodon 供应链攻击,攻击者通过伪造自动提交窃取 CI/CD 凭证,并可能通过 npm 扩散至最终用户。Megalodon 是独立的威胁行为,受 TeamPCP 启发但非其竞赛一部分。