TeamPCP 攻击者通过 Mini Shai-Hulud 活动,入侵了 TanStack、Mistral AI、OpenSearch、Guardrails AI 等 npm 和 PyPI 包,植入 JavaScript 恶意代码,窃取云服务、加密钱包、AI 工具等凭证,并通过 Session Protocol 域名或 GitHub API 外传数据。
此次攻击利用 GitHub Actions pull_request_target 触发器、缓存投毒和 OIDC 令牌劫持,实现自我传播,受影响的包超 170 个,累积下载量超 5.18 亿次。恶意代码还安装持久化钩子,并内置自毁机制防止令牌被撤销。
The Hacker News
🌸 在花频道 · 茶馆讨论 · 投稿通道
via 科技圈🎗在花频道📮 - Telegram Channel
