The Hacker News TrapDoor Supply Chain Attack Spreads Credential-Stealing Malware via npm,... TrapDoor spread 34 malicious packages across npm, PyPI, and Crates.io, stealing developer credentials and enabling persistence. [!quote]+ 一场新的跨生态系统软件供应链协同攻击活动以 npm、PyPI 和 Crates.io 为目标,传播证书窃取恶意软件。 这场代号为 "TrapDoor "的活动涉及超过 34 个恶意软件包,版本超过 384 个。最早的活动记录于 2026 年 5 月 22 日 8:20 p.m. UTC,新软件包一波一波地从一组账户快速发布到生态系统中。 "TrapDoor的目标是加密、DeFi、Solana和人工智能社区的开发人员,"Socket说。"恶意软件包旨在窃取开发者机密、加密钱包、SSH 密钥、云凭证、浏览器数据和环境变量。 "几个 npm 软件包还部署了一个共享有效载荷 trap-core.js,它可以扫描凭证、验证 AWS 和 GitHub 令牌、尝试基于 SSH 的横向移动,并通过 .cursorrules、CLAUDE.md、Git 钩子、shell 钩子、systemd、cron 和 SSH 设置持久性。 值得注意的是,该活动与 HUMAN 的 Satori 威胁情报和研究小组上周详细报道的另一个同名活动没有任何联系,后者通过 Google Play 商店分发了 455 个安卓应用程序,从事广告欺诈活动。 该行动的显著特点是交付路径多样,使用安装后钩子、在软件包导入时执行的远程 JavaScript 有效载荷以及恶意 build.rs 脚本来攻击 Sui 和 Move 开发人员。这些软件包伪装成看似无害的工具,使攻击者能够接触到广泛的受众。 npm 软件包被发现运行一个 JavaScript 有效载荷(“rap-core.js”),它可以扫描凭据和开发人员机密,使用 AWS 和 GitHub API 调用验证窃取的凭据,使用 cron 作业、systemd 服务、Git 钩子在主机上创建持久性,并通过 SSH 在网络上移动。 Rust crates 以类似的方式搜索本地密钥库,使用硬编码 XOR 密钥加密数据,并将数据外泄到 GitHub Gists。值得注意的是,这些软件包还使用了构建脚本(“build.rs”)来触发恶意代码的执行。 与 TrapDoor 相关的 Python 软件包设计为导入时自动执行。这些软件包的主要目的是从攻击者控制的 GitHub 页面域(“ddjidd564.github[.]io”)下载 JavaScript,并使用 "node -e "运行。 "Socket 解释说:"这种技术允许 Python 软件包将执行委托给远程 JavaScript 有效载荷,使攻击者在发布后拥有更大的灵活性。"通过在外部托管有效载荷,攻击者可以在不发布新的 PyPI 版本的情况下更新行为。 该活动的一个不同寻常之处是植入了 .cursorrules 和 CLAUDE.md,其中包含隐藏指令,以诱骗人工智能(AI)助手运行 “安全扫描”,从而导致秘密被发现和外泄。这是通过在流行的人工智能和开发人员项目中打开 GitHub 拉取请求(PR)来实现的,包括 “browser-use/browser-use”、"langchain-ai/langchain "和 “langflow-ai/langflow”。 3 个帖子 - 2 位参与者 阅读完整话题
tanstack.com Postmortem: TanStack npm supply-chain compromise | TanStack Blog On 2026-05-11, an attacker chained a pull_request_target Pwn Request, GitHub Actions cache poisoning across the fork↔base trust boundary, and OIDC token extraction from runner memory to publish 84 malicious versions across 42 @tanstack/* packages on... [!quote]+ 2026-05-11 19:20 至 19:26 UTC 期间,一名攻击者通过结合以下方式在 42 个 @tanstack /* npm 软件包中发布了 84 个恶意版本:pull_request_target "Pwn Request "模式、跨越 fork<->base 信任边界的 GitHub Actions 缓存中毒,以及从 GitHub Actions runner 进程中提取 OIDC 令牌的运行时内存。没有 npm 令牌被盗,npm 发布工作流本身也未受到攻击。 为 stepsecurity 工作的外部研究人员 ashishkurmi 在 20 分钟内公开检测到了这些恶意版本。所有受影响的版本都已被弃用;npm 安全部门已开始从注册表中删除压缩包。我们没有证据表明 npm 凭据被盗,但我们强烈建议任何在 2026-05-11 安装受影响版本的人,轮换 AWS、GCP、Kubernetes、Vault、GitHub、npm 和安装主机可访问的 SSH 凭据。 Cyber Security News – 12 May 26 84 TanStack npm Packages Hacked in Ongoing Supply-Chain Attack Targeting CI... A significant supply-chain compromise affecting 84 npm package artifacts across the TanStack namespace. Est. reading time: 3 minutes Snyk – 11 May 26 TanStack npm Packages Hit by Mini Shai-Hulud | Snyk On May 11, 2026, the Mini Shai-Hulud worm compromised 84 npm package artifacts across 42 @tanstack/* packages (as well as @squawk/*, @mistralai/* packages, and others) by chaining a GitHub Actions "Pwn Request," cache poisoning, and OIDC token... Socket TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud... Socket detected 84 compromised TanStack npm package artifacts modified with suspected CI credential-stealing malware. 3 个帖子 - 2 位参与者 阅读完整话题
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
信源: Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ... C2: audit[.]checkmarx[.]cx Bitwarden CLI版本2026.4.0因恶意GitHub Action攻击而遭到入侵,攻击者利用该攻击窃取敏感凭证并泄露数据。 处置建议: 轮换所有可能已暴露给这些环境的凭据,包括GitHub令牌、npm令牌、SSH密钥和CI/CD密钥。检查GitHub是否存在未经授权的仓库创建、.github/workflows/目录下是否存在意外的工作流文件、是否存在可疑的工作流运行、工件下载以及是否存在符合观察到的Dune主题暂存模式({word}-{word}-{3digits})的公共仓库。 如果认为自己可能受到影响,请检查新发布的仓库中是否存在以下关键字: atreides cogitor fedaykin fremen futar gesserit ghola harkonnen heighliner kanly kralizec lasgun laza melange mentat navigator ornithopter phibian powindah prana prescient sandworm sardaukar sayyadina sietch siridar slig stillsuit thumper tleilaxu 7 个帖子 - 5 位参与者 阅读完整话题
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
WARNING: Bitwarden CLI was compromised in a supply chain attack. @ bitwarden /[email protected] included malicious code after attackers hijacked GitHub Actions, stole secrets, and pushed a tampered version to npm.
NIPPON EXPRESS HOLDINGS株式会社(简称NX集团)宣布已达成协议,收购总部位于加拿大蒙特利尔的Metro Supply Chain Group Inc.全部股份,并于4月17日签订了股份购买协议。本次交易以企业价值计算,Metro Supply Chain Group估值18亿加元(约合2070亿日元),创下NX集团史上最大收购规模。Metro Supply Chain Group在加拿大、美国及英国市场为消费品、汽车、制造及医疗健康等多个行业提供第三方物流(3PL)服务。(界面)