OmniTools 5月12日消息,网络安全机构 Socket 披露针对 npm 生态的大规模供应链攻击事件“Mini Shai-Hulud”。攻击者利用 GitHub Actions 的已知漏洞绕过双重验证,向 TanStack、Mistral AI、UiPath 等知名项目的软件包中植入恶意版本。
被篡改的包在安装时会自动执行恶意代码,窃取 AWS、GCP、Kubernetes、GitHub 访问令牌及 SSH 私钥等敏感凭证。本次攻击波及超 160 个包名、近 373 个恶意版本,目前所有恶意版本均已从 npm 官方仓库下架清理。