SOCKET
2026-05-22 22:22AI已接管开源
AI编程工具正在驱动npm生态系统出现前所未有的大爆发,2026年月度新增包数量突破10万,README中包含em dash的比例从5%飙升至30%以上。curl、Godot、Ghostty、tldraw等开源项目维护者已开始关闭或限制pull request,拒绝AI自动化贡献。随着AI同时主导开源包的生成和依赖选择,软件供应链正变成一个自动化的黑箱,Socket建议将第三方代码的自动化行为分析作为防御基线。
npmaillm
风险信号
26 篇69 个标签
标签
SOCKET
2026-05-22 05:28npm 废除精细化访问令牌:Mini Shai-Hulud 漏洞来袭
npm因Mini Shai-Hulud攻击活动 invalidated了所有绕过2FA的粒度访问令牌,攻击者劫持了atool维护者账户,向@antv生态系统的323个包推送了639个恶意版本,波及echarts-for-react等流行包。npm建议迁移到OIDC可信发布并启用新增的阶段性发布(staged publishing)功能,要求维护者轮换凭证、采用人工MFA审批流程来阻止自动化投毒。
npmtokensactionsoidc
STEPSECURITY
2026-05-21 01:02Dev Machine Guard 现支持 Windows
StepSecurity的Dev Machine Guard(原仅支持macOS)现已原生支持Windows 10/11,可对Windows和macOS开发者机器统一扫描,检测GitHub Copilot、Cursor、Claude等AI助手、VS Code扩展、MCP服务器及npm依赖包中的恶意组件。该工具填补了混合平台企业环境中的安全可见性空白,帮助安全团队在Shai-Hulud npm蠕虫、s1ngularity Nx供应链攻击等事件中分钟级回答"哪些开发者机器受影响",而非耗时数天排查。
npmwindowsaidevops
SOCKET
2026-05-20 23:25Socket 完成 Thrive Capital 领投的 6000 万美元 C 轮融资,估值达 10 亿美元
Socket完成6,000万美元C轮融资,估值达10亿美元,由Thrive Capital领投,a16z、Capital One Ventures等跟投,累计融资1.25亿美元。融资将用于扩展Socket Firewall恶意包拦截功能、扩大Certified Patches可达性修复覆盖范围,并加强对浏览器扩展、MCP服务器等AI工具的安全防护。 Shai-Hulud蠕虫自2025年9月起持续攻击npm、PyPI、Packagist等开源生态,Socket每周拦截超过10,000次供应链攻击,已保护27,000家组织包括Anthropic、xAI、Cursor、Vercel等头部AI企业,警示AI时代开源代码引入风险急剧上升。
npmpypiai
SOCKET
2026-05-20 22:07Socket 融资 6000 万美元 C 轮,估值达 10 亿美元,助力...
Socket完成6000万美元C轮融资,估值达10亿美元,成为独角兽,由Thrive Capital领投,a16z等机构参投。该公司专注于开源软件供应链安全,AI加速软件开发导致更多第三方依赖进入生产环境,Axios等热门npm包被植入恶意代码事件凸显了实时检测的必要性。Socket通过AI辅助分析在代码进入代码库前识别恶意行为和供应链风险,已服务Anthropic、xAI、Figma等企业客户及多家Fortune 100公司。
npmaiscafunding
STEPSECURITY
2026-05-19 14:25推出 Secure Registry:为 npm 供应链提供安装时防御
TeamPCP组织在npm发布携带自我传播蠕虫Mini Shai-Hulud的@tanstack恶意包,通过窃取CI/CD凭证感染维护者控制的所有包,且该蠕虫携带有效SLSA Build Level 3 provenance属首次记录,对npm生态构成严重威胁。StepSecurity推出Secure Registry作为npm上游代理,在安装时强制执行安全控制(如10天冷却期),阻断所有绕过PR审查的安装请求并记录评估日志,保护CI/CD流水线、开发机器和制品库,弥补传统扫描工具的滞后性缺陷。
npmwormci-cdinstall-time
SOCKET
2026-05-19 10:49迷你沙虫袭击 @antv 生态系统,639 个 npm 包被攻陷...
微型沙虫(Mini Shai-Hulud)攻击浪潮在npm生态中大规模爆发,639个恶意包版本感染了@antv系列(@antv/g2、@antv/g6、@antv/x6等)及echarts-for-react等323个包,攻击者通过preinstall钩子注入混淆的index.js,在安装时窃取GitHub令牌、npm令牌、AWS凭证及CI/CD平台密钥,并使用AES-256-GCM加密将数据外泄至https://t[.]m-kosche[.]com域名,同时利用被盗npm凭证重新发布感染更多包。由于受影响包每周下载量达数百万次,自动拉取新版本的组织面临重大下游风险,应通过版本固定、npm令牌审计及监控异常网络行为进行防御。
npmsecretsexfilgithub
STEPSECURITY
2026-05-12 21:58TeamPCP 的 Mini Shai-Hulud 回归:自我传播供应链攻击感染 TanStack npm 包
TeamPCP组织发动了新一轮"Mini Shai-Hulud"蠕虫攻击,通过劫持GitHub Actions的OIDC令牌和GitHub自有发布流程,在npm上发布了84个恶意版本的@tanstack包(含@tanstack/react-router、@tanstack/router-core等42个包),并附带伪造的SLSA Build Level 3 provenance签名——这是首个携带有效 provenance 的恶意npm蠕虫。恶意载荷读取Runner.Worker进程内存提取所有工作流密钥,扫描100余个凭证路径(涵盖云密钥、加密钱包、AI工具配置等),并在Claude Code、VS Code及系统服务中植入持久化后门,随后通过Session Protocol CDN和GitHub GraphQL API外泄数据。防御关键是:SLSA provenance仅证明构建来源,不保证构建行为可信,需结合包体积异常检测、网络出站白名单及CI/CD内存凭证隔离等手段综合防护。
npmwormactionsslsa
GITGUARDIAN
2026-05-12 21:30Mini Shai-Hulud:一种持久化供应链蠕虫
安全研究人员发现针对NPM生态系统的供应链攻击,攻击者入侵了包括@opensearch-project/opensearch(130万周下载量)和@mistralai/mistralai(200万周下载量)在内的300多个包。恶意代码针对CI/CD环境,利用OIDC集成绕过可信发布保护,窃取GitHub个人访问令牌后用于创建 Dune 主题的公开仓库传播窃取的加密凭证。建议检查CI环境中的ghp令牌并审查commit信息中的"OhNoWhatsGoingOnWithGitHub:"字符串。
npmci-cdtokensworm
STEPSECURITY
2026-05-05 01:20宣布 Dependabot 配置增强:支持冷却时间和分组
StepSecurity为其Dependabot配置管理新增了cooldown(冷却时间)和group(分组)功能,支持npm、pip、Docker、GitHub Actions等生态系统的更新频率控制和PR批量合并。该功能解决了因依赖更新PR过多导致团队停止审查、补丁更新延迟的老大难问题,与已有的npm Package Cooldown检查(曾成功拦截Shai-Hulud和axios投毒攻击)形成互补。企业可通过统一策略管理,确保团队以可持续的节奏审查依赖更新,而非在供应链攻击来临时无法判断自身受影响范围。
npmactionsci-cdgithub
STEPSECURITY
2026-05-05 01:20沙虫蠕虫转向多云:intercom-client@7.0.4 被劫持 — 361,000 每周下载量,AWS、GCP 和 Azure 凭证已进入攻击范围
Shai-Hulud蠕虫已感染第三个npm包:intercom-client@7.0.4(周下载量361,510次),攻击者通过被劫持的GitHub Actions OIDC发布管道于4月30日14:41 UTC发布恶意版本,SLSA provenance签名缺失。该Payload(routerruntime.js)从窃取GitHub/npm令牌升级为多云凭证扫描器,可从AWS元数据端点(169.254.169.254)、GCP元数据服务器(metadata.google.internal)及Azure连接字符串中提取凭证,并通过api.github.com建立私有仓库完成数据外泄。建议立即降级至7.0.3并轮换所有CI/CD环境中暴露的云凭据。
npmpostinstallcloud-credsactions
STEPSECURITY
2026-05-05 01:20迷你沙虫现身:针对SAP相关npm包的Bun运行时混淆载荷攻击
四个SAP相关npm包(mbt@1.2.48、@cap-js/sqlite@2.2.2、@cap-js/postgres@2.2.2、@cap-js/db-service@2.10.1)被植入名为"Shai-Hulud"的凭证窃取蠕虫,通过preinstall钩子下载Bun运行时并执行11.6MB混淆载荷,窃取npm token、AWS/GCP/Azure凭据、SSH密钥后自动传播到其他包。攻击者利用OIDC可信发布滥用和被盗npm token两种路径投递恶意版本,并注入VSCode任务和Claude Code会话钩子实现持久化。防御建议:检查是否安装了上述版本、轮换所有凭据、检查仓库中是否存在.vscode/tasks.json和.claude/settings.json恶意钩子文件。
npmwormtokensoidc
STEPSECURITY
2026-05-05 01:20npm 上 Bitwarden CLI 被劫持:Bun 分阶段凭据窃取器瞄准开发者、GitHub Actions 和 AI 工具
攻击者利用被盗的Bitwarden工程师GitHub账户,通过OIDC可信发布机制在npm上发布了被篡改的@bitwarden/cli@2026.4.0版本。该版本包含一个preinstall钩子,会静默下载Bun运行时并执行9.7MB的混淆恶意程序,专门窃取SSH密钥、GitHub令牌、云凭证及AI工具配置(包括~/.claude.json和MCP服务器配置),数据通过AES-256-GCM加密后外传至冒充Checkmarx的audit.checkmarx.cx域名,GitHub令牌还可被武器化用于向开发者可达的所有仓库注入恶意工作流。
npmoidcai
GITGUARDIAN
2026-05-04 22:00AI 编程助手时代的本地密钥安全护栏
GitGuardian研究发现,攻击者正通过npm、PyPI、Docker Hub等包管理生态系统的供应链活动,大量窃取开发者工作站上的凭证。2025年在GitHub公开提交中检测到超过2860万个新Secrets,同比增长34%;在Shai-Hulud研究中,6943台被入侵机器发现33185个唯一凭证,其中至少3760个在被发现时仍有效。AI编程工具加剧风险——允许Claude Code等助手共同提交代码的开发者,每个提交泄露的Secrets是普通开发者的两倍。防御关键是将安全控制前移至开发者本地环境:通过ggshield IDE扩展、pre-commit/pre-push钩子及AI工作流钩子,在凭证进入Git历史或共享基础设施前完成检测和阻断。
credstokensainpm
GITGUARDIAN
2026-04-24 02:25@bitwarden/cli - GitGuardian 关于 helloworm00 的视图
Bitwarden/CLI的npm包被入侵,恶意代码将数据发送至audit.checkmarx.cx,并通过GitHub提交中的beautifulcastle和LongLiveTheResistanceAgainstMachines标记进行C2通信。该攻击还针对Claude Code等六款AI编程助手,在~/.bashrc和~/.zshrc中植入反AI宣言。研究确认攻击通过被篡改的Checkmarx KICS Docker镜像利用Dependabot自动更新传播,建议对依赖更新添加冷却机制。
npmdockeraici-cd