文章总结: 2026年6月,Socket安全团队披露黑客利用GitHub上postinstall自动安装脚本发起供应链攻击,污染超700个代码库。攻击者修改上游package.json脚本,依赖安装时自动执行并下载伪装成/tmp/.sshd的恶意木马以窃取信息。建议开发者勿盲目信任第三方依赖,定期审计自动执行脚本及包管理器配置以降低风险。 综合评分: 85 文章分类: 供应链安全,恶意软件,安全开发,漏洞预警
全公司警告有黑客在GitHub利用自动安装脚本发起供应链投毒 超700个代码库遭污染
安全学习那些事儿
2026年6月8日 15:00 上海
在小说阅读器读本章
去阅读
2026年6月7日,网络安全公司Socket研究团队发文,黑客利用“Postinstall”自动安装脚本发起供应链攻击,目前已污染超过700个 GitHub公开代码库。
Socket表示,黑客在此次攻击事件中首先对GitHub多个上游代码仓库动手,悄悄修改package.json自动安装脚本,当开发者安装相关依赖时,脚本会自动执行,并下载恶意木马,之后黑客即可趁虚而入进一步获取受害者设备上的隐私信息,并进一步污染更多项目。
同时,为了降低被发现的概率,相应恶意木马还会被保存为“/tmp/.sshd”文件,故意伪装成合法SSH服务进程名称,从而降低开发者戒心。
Socket指出,这类供应链投毒方式尤其危险,因为开发者往往默认信任自动化安装流程,一旦上游仓库被污染,下游基本容易“全军覆没”。因此开发团队应当避免直接信任第三方依赖包,定期重点检查Composer包管理工具配置、审计自动执行脚本,以降低供应链攻击带来的安全风险。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全学习那些事儿 《全公司警告有黑客在GitHub利用自动安装脚本发起供应链投毒 超700个代码库遭污染》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论