标签
攻击者劫持了Jscrambler的NPM凭证,发布了恶意版本,利用一个未记录的基于Rust的信息窃取器,从Cursor和Claude Desktop等AI工具中窃取API密钥和开发者历史记录。
本文警告了正在爆发的Mini Shai-Hulud供应链攻击,攻击已从TanStack扩散到UiPath、Mistral AI等,共205个制品被毒化。攻击者通过CI/CD缓存投毒,恶意包拥有合法签名和provenance,传统安全手段失效,且AI加速了攻击速度,开发者的AI工具成为寄生目标。