黑客在持续的供应链攻击中破坏了数十个主流的开源软件包

在持续的网络攻击中，黑客已经破坏了世界各地软件开发人员所依赖的多个主流开源项目。

周二，网络安全公司StepSecurity和SafeDep对最新一波所谓的“供应链”攻击发出警告，这些攻击旨在危害主流开源项目的开发人员，并利用该访问权限植入恶意更新，并将其推送给下游用户。

据SafeDep称，黑客接管了一名开发人员的帐户，并在大约20分钟内发布了317个软件包中的630多个恶意版本。攻击的目标是窃取各种服务的凭据，包括密码管理器，作为窃取数据并继续传播恶意软件的一种方式。

在黑客入侵的软件包中，有一个由阿里巴巴制作的库Antv。据JFrog Security称，在某些情况下，黑客会在GitHub上发布恶意更新。

最新一波攻击是针对开源项目和在自己项目中使用代码的开发人员的更广泛活动的一部分。研究人员将这次攻击称为“Mini Shai-Hulud”，因为这次攻击是在之前更广泛的黑客活动之后发生的。

上周，在Mini Shai-Hulud攻击的另一波攻击中，黑客在入侵开源库TanStack后，入侵了两名OpenAI员工的计算机。 OpenAI只是数名受害者之一。