慢雾发布npm供应链攻击警报：23个包受影响，408个GitHub仓库凭证遭窃

慢雾安全团队发布警报称，一种新型Shai-Hulud/Miasma/Hades npm恶意软件变种正在影响npm生态系统，该变种与已受损的npm开发者账户czirker有关。攻击活动利用预配置的binding.gyp文件在npm install过程中执行恶意代码，目前已确认23个受影响包，其中leo-logger周下载量达3,140次。截至警报发布时，已监测到408个包含被盗凭证的受影响GitHub仓库。(PANews)