Svmuu讯 据 SlowMist 监测,MistEye 检测到一起针对开发者的跨注册表供应链攻击,攻击者通过 npm、PyPI 和 Crates.io 发布恶意包实施攻击。该攻击活动涉及 34 个以上恶意包及 384 个以上相关版本,目标社区包括加密、DeFi、Solana、Sui/Move 及 AI 开发者。
攻击者潜在行为包括窃取加密钱包、SSH 密钥、云凭证、GitHub/AWS 令牌、浏览器数据、环境变量及开发者密钥。部分载荷还试图通过。cursorrules、CLAUDE.md、Git 钩子、Shell 钩子、cron、systemd 及 SSH 实现持久化。
SlowMist 建议立即移除受影响包,隔离受影响系统,保留日志,轮换暴露凭证,从干净镜像重建 CI 运行器及开发者机器,并审查 GitHub、云、SSH 及钱包活动。