Svmuu訊 據 SlowMist 監測,MistEye 檢測到一起針對開發者的跨註冊表供應鏈攻擊,攻擊者透過 npm、PyPI 和 Crates.io 發布惡意包實施攻擊。該攻擊活動涉及 34 個以上惡意包及 384 個以上相關版本,目標社群包含加密、DeFi、Solana、Sui/Move 及 AI 開發者。
攻擊者潛在行為包括竊取加密錢包、SSH 金鑰、雲端憑證、GitHub/AWS 令牌、瀏覽器數據、環境變數及開發者金鑰。部分載荷還試圖透過 .cursorrules、CLAUDE.md、Git 鉤子、Shell 鉤子、cron、systemd 及 SSH 實現持久化。
SlowMist 建議立即移除受影響包,隔離受影響系統,保留日誌,輪換暴露憑證,從乾淨映像重建 CI 執行器及開發者機器,並審查 GitHub、雲端、SSH 及錢包活動。