恶意 postinstall 钩子现身 700 个 GitHub 仓库,波及 Node 项目
安全研究人员在超过 700 个 GitHub 仓库中发现恶意 postinstall 钩子,这些钩子被用于在安装依赖时执行恶意代码,受影响的项目包括多个 Node.js 相关仓库。攻击者通过向合法 npm 包注入恶意 postinstall 脚本,在开发者安装依赖时窃取敏感信息或获取远程访问权限。该发现凸显了供应链攻击的持续威胁,建议开发者审查依赖并验证安装脚本的安全性。
安全研究人员在超过 700 个 GitHub 仓库中发现恶意 postinstall 钩子,这些钩子被用于在安装依赖时执行恶意代码,受影响的项目包括多个 Node.js 相关仓库。攻击者通过向合法 npm 包注入恶意 postinstall 脚本,在开发者安装依赖时窃取敏感信息或获取远程访问权限。该发现凸显了供应链攻击的持续威胁,建议开发者审查依赖并验证安装脚本的安全性。