周下载量超过 20 亿次的 18 个 NPM 包被投毒，开发者被钓鱼后泄露关键凭证，随后黑客发起供应链攻击。黑客的目的是利用恶意代码篡改浏览器事务，从而窃取加密货币，例如当用户发送 ETH 给 A 地址，虽然浏览器仍然显示 A 地址，但实际上加密货币会被发送到黑客控制的 B 地址：

#NPM包投毒 #供应链攻击 #加密货币窃取 #黑客攻击 #恶意代码

相关新闻

BBC News 中文-BBC News 中文

13小时前

英国选举监督机构承认在中国黑客攻击后“吸取了惨痛教训”

蓝点网

17小时前

知名流媒体平台 #Plex 遭到黑客攻击泄露数据库，平台要求所有用户修改密码增强安全性。泄露的数据包括邮箱、用户名、经过哈希加密后的密码和身份验证数据，为确保安全用户应当修改密码并注销所有已登录设备，然后使用新密码重新登录。查看全文：

blanker

1天前

npm里几个非常出名的库被供应链攻击了，用浏览器发交易有可能交易被劫持，建议用硬件钱包+检查to address

蓝点网

6天前

#Cloudflare 也出现数据泄露事故，黑客从 #Salesforce CRM 中窃取了工单、日志、令牌和密码等。此次攻击的源头乃是 #Salesloft，黑客从 Salesloft 窃取了令牌可疑访问 Salesforce 并窃取了数据，谷歌也是因为 Salesloft 才导致数据泄露。查看全文：

Baye

1周前

大家如何在终端中安全的管理 secrets？我需要让各种 cli 能访问我的 API Key，但又要防止供应链攻击。用环境变量太不安全了，GitHub 刚刚给我发了一个安全警报，我一个项目受到了供应链攻击，一个知名的开源项目会偷环境变量中的 API Key。