· adswds team · 安全
Shai-Hulud 再度回归:1000+ NPM 包与 27000+ GitHub 仓库在数小时内被感染 - 伪 Bun 运行时供应链攻击深度分析
2025年11月24日,HelixGuard 发现超过1000个 NPM 包被通过伪 Bun 运行时的方式投毒,该恶意软件使用 TruffleHog 窃取 NPM Tokens、云平台凭证及环境变量,随后通过 GitHub Actions 从事数据窃取活动,影响超过27000个 GitHub 仓库。
2025年11月24日,HelixGuard 发现超过1000个 NPM 包被通过伪 Bun 运行时的方式投毒,该恶意软件使用 TruffleHog 窃取 NPM Tokens、云平台凭证及环境变量,随后通过 GitHub Actions 从事数据窃取活动,影响超过27000个 GitHub 仓库。