GitHub超700代码库遭供应链投毒 黑客利用自动安装脚本
安全研究人员发现,黑客篡改GitHub上七百余个代码库的自动安装脚本,执行时下载伪装为 tmp sshd的恶意木马,窃取隐私并污染下游项目。该攻击利用开发者对自动安装的信任惯性,需要审计脚本并警惕第三方依赖风险。
近日,网络安全领域再次拉响警报——黑客将目标锁定在GitHub上的自动化安装脚本,已有超过700个公开代码库遭到感染。Socket安全团队于6月7日发布深度分析报告,详细披露了此次攻击的完整手法。

攻击手法虽不复杂,却极具隐蔽性。黑客首先锁定部分GitHub上游代码仓库,暗中篡改package.json中的自动安装脚本。开发者一旦像往常一样执行依赖安装,该脚本便会自动触发,无痕下载恶意木马。随后,攻击者即可乘虚而入,窃取设备中的敏感数据,并进一步向更多下游项目扩散污染。
尤为值得警惕的是该木马的精妙伪装:它被写入/tmp/.sshd路径,刻意模仿合法SSH服务的进程名称。即便是粗心的开发者,甚至资深运维人员,在快速浏览进程列表时也很难第一时间察觉异常。
此类供应链投毒攻击之所以威胁巨大,根源在于“信任惯性”——开发者往往会默认自动安装流程安全可靠,极少逐行审查脚本内容。一旦上游仓库失守,所有依赖它的下游项目将面临全面沦陷的风险。Socket安全团队给出的建议清晰明确:切勿盲目信任任何第三方依赖包,应定期核查Composer包管理工具配置,并严格审计所有自动执行脚本,这才是抵御此类攻击的务实之举。
换个视角来看,此次事件再次为整个行业敲响警钟:在开源生态持续扩张的背景下,供应链安全已不再是大企业的专属课题。每一位参与代码复用的开发者,都应当提高对“自动安装”环节的警觉,把信任底线设得更高一些。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
特斯拉开发Grok语音控制FSD,实现对话式自动驾驶
7月12日,一则引人关注的消息传来:与汽车进行语音交互的方式,正从“发出指令”转变为“像与驾驶员聊天”一样自然。 特斯拉将人工智能融入汽车的计划,即将迎来新的突破——让Grok聊天机器人与FSD自动驾驶系统实现深度整合。AI不仅能与用户进行自然对话,还能直接操控车辆行驶。 事情的起因是这样的。近日,
MiniMax闫俊杰放弃薪酬 5%股份激励团队和开源
MiniMax创始人闫俊杰宣布即日起不再领取薪酬,并拿出个人名下5%股份:4%用于激励团队,1%设立基金支持开源社区。此前公司因大规模限售股解禁股价大跌20%,但大股东无减持计划,创始团队已设12个月自愿禁售期。
小米首款SUV命名SkyNomad N90揭晓
小米澎程首款SUV命名为SkyNomadN90,采用全新十字大灯、封闭式前脸设计,该车定位智能可变大空间SUV,可切换为工作室、卧室等多种移动生活空间,内部研发代号为昆仑,提供五座和七座版本,并标配激光雷达系统。
Redmi Note 17 7英寸大屏8000mAh电池追剧神器
红米Note17将于7月14日发布,配备7英寸大屏与8000mAh电池,定位千元价位。大屏视野开阔,观影沉浸感强;大电池续航持久,弥补短板;延续Note系列耐用特质,填补千元大屏市场空白。
马斯克承认看错Anthropic 不会因竞争断其服务器
马斯克公开承认看走眼,称Anthropic现为AI领域领导者,驳斥“拔服务器”的竞争手段。SpaceX向Anthropic出租算力,双方合作紧密。马斯克强调不会因竞争切断服务,认可其模型实力,体现技术与商业并行的底线。
- 热门数据榜
相关攻略
2026-07-12 13:49
2026-07-12 13:48
2026-07-12 13:48
2026-07-12 13:48
2026-07-12 13:48
2026-07-12 13:48
2026-07-12 13:48
2026-07-12 13:48
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

