#前端 #供应链攻击 #npm #安全 #新动态
想必大家都看麻了x
早用 pnpm 早超生,俩周以内的依赖更新不装((
Active Supply Chain Attack Compromises @antv Packages on npm:npm 上的 AntV 可视化库包被植入恶意代码,构成活跃的供应链攻击。
[以下是方便搜索索引的大纲(AI 生成),请读原文]
想必大家都看麻了x
早用 pnpm 早超生,俩周以内的依赖更新不装((
Active Supply Chain Attack Compromises @antv Packages on npm:npm 上的 AntV 可视化库包被植入恶意代码,构成活跃的供应链攻击。
AI 摘要:2026 年 5 月,Socket Research Team 发现 @antv 系列 npm 包遭到供应链攻击,攻击者发布恶意版本,通过 postinstall 脚本窃取环境变量和 npm token,影响 @antv/g6、@antv/util 等多个核心包,建议用户立即版本锁定并轮换密钥。
[以下是方便搜索索引的大纲(AI 生成),请读原文]
1. 攻击事件概览
• 2026 年 5 月 11–19 日期间,大量 @antv 子包集中发布恶意版本,时间戳显示攻击窗口集中。
• Socket 安全团队通过实时包监控(package monitoring)发现异常发布行为并发出警报。
2. 攻击手法与技术细节
• 恶意代码嵌入 postinstall 钩子,安装时自动执行,窃取系统环境变量、npm token 及敏感配置。
• 攻击者利用泄露的维护者凭据或通过社会工程学获取 npm 发布权限。
3. 受影响包范围
• 涉及 @antv/scale、@antv/attr、@antv/component、@antv/g6 等数十个包的多个版本。
• 所有在 2026-05-11 至 2026-05-19 时间窗口内发布的版本均为恶意版本。
4. 紧急缓解措施
• 锁定依赖版本,避免使用上述时间窗口内的版本。
• 运行 npm audit 或使用 Socket 工具扫描项目并移除受影响包。
• 立即轮换所有可能泄露的 npm token、环境变量及 API 密钥。
• 关注 AntV 官方后续安全公告,升级到修复后的版本。
Socket
Mini Shai-Hulud Hits @antv Ecosystem, 639 Compromised npm Pa...
Active npm supply chain attack compromises @antv packages in a fast-moving malicious publish wave tied to Mini Shai-Hulud.
该漏洞主要影响企业内部部署的用于 WSUS 的更新服务器,受影响的系统版本从 Windows Server 2012 开始到 2025 所有版本。
查看全文:https://ourl.co/111001
安全公司 RAPID7 从 5 月 1 日开始尝试联系一加但始终没有任何回应,迫于无奈现在研究人员直接公开漏洞且附带利用漏洞的片段代码算是敦促一加修复的最后手段。
查看全文:https://ourl.co/110800
《原神》的反作弊驱动被勒索软件利用杀死杀毒软件
2022-08-25 15:37 by 迷失的世界
安全公司趋势科技的研究人员报告,《原神》的反作弊驱动 mhyprot2.sys 被勒索软件利用杀死杀毒软件的进程和服务。mhyprot2.sys 作为设备驱动是与《原神》游戏分开安装的,卸载《原神》并不会卸载 mhyprot2.sys,早在 2020 年 9 月米哈游发布 《原神》时游戏社区就开始讨论具有间谍软件能力的 mhyprot2.sys。它很快被发现存在漏洞允许被利用杀死进程。开发者神楽坂早苗/kagurazakasanae 和 Kento Oki 分别发布了 PoC 演示了杀死进程的能力。Kento Oki 向米哈游报告了漏洞,但该公司没有承认也没有修复。勒索软件利用的 mhyprot2.sys 是 2020 年 8 月构建的,其签名至今仍然有效没有撤销。
#安全
2022-08-25 15:37 by 迷失的世界
安全公司趋势科技的研究人员报告,《原神》的反作弊驱动 mhyprot2.sys 被勒索软件利用杀死杀毒软件的进程和服务。mhyprot2.sys 作为设备驱动是与《原神》游戏分开安装的,卸载《原神》并不会卸载 mhyprot2.sys,早在 2020 年 9 月米哈游发布 《原神》时游戏社区就开始讨论具有间谍软件能力的 mhyprot2.sys。它很快被发现存在漏洞允许被利用杀死进程。开发者神楽坂早苗/kagurazakasanae 和 Kento Oki 分别发布了 PoC 演示了杀死进程的能力。Kento Oki 向米哈游报告了漏洞,但该公司没有承认也没有修复。勒索软件利用的 mhyprot2.sys 是 2020 年 8 月构建的,其签名至今仍然有效没有撤销。
#安全
资讯 | CD PROJEKT RED Important Update
CD PROJEKT RED 遭遇网络入侵
昨天,我们发现我们已经成为有针对的网络攻击受害者,我们的某些内部网络系统受到威胁。
.......
链接:CD PROJEKT RED
#CDPR #安全 #资讯 #NZ1480
消息来源: https://t.me/SteamNy/1953
CD PROJEKT RED 遭遇网络入侵
昨天,我们发现我们已经成为有针对的网络攻击受害者,我们的某些内部网络系统受到威胁。
.......
链接:CD PROJEKT RED
#CDPR #安全 #资讯 #NZ1480
消息来源: https://t.me/SteamNy/1953
X (formerly Twitter)
CD PROJEKT RED (@CDPROJEKTRED) on X
Important Update
#安全警示
https://www.v2ex.com/t/608625
Everything 的HTTP服务如果向公网开放就可能会被谷歌爬取到,并可以提供详细的文件索引与内容查看
———————
测试搜索可使用字段
———————
可能是这篇文章惹了祸?有Everything的记得检查一下
https://blog.csdn.net/y_bing/article/details/80715734
https://www.v2ex.com/t/608625
Everything 的HTTP服务如果向公网开放就可能会被谷歌爬取到,并可以提供详细的文件索引与内容查看
———————
测试搜索可使用字段
Everything 索引 "C:\"
allintitle: Everything C:\Windows
请勿用于非法用途———————
可能是这篇文章惹了祸?有Everything的记得检查一下
https://blog.csdn.net/y_bing/article/details/80715734
