本质新闻

一个月下载量超百万的开源软件包elementary-data的0.23.3版本被发现含恶意代码，可窃取用户系统中的敏感凭证。开发者紧急呼吁用户立即卸载该版本并升级至0.23.4，同时清理缓存、检查临时目录中是否存在恶意标记文件，并立即轮换所有可能暴露的凭据，包括数据库配置、云服务密钥、API令牌及CI/CD环境中的密钥。该事件凸显开源生态中供应链攻击风险，安全专家指出，开放仓库中的自动化工作流易被恶意利用，构成重大安全隐患。

2026年3月19日，安全扫描工具Trivy遭遇供应链攻击，攻击者利用被盗凭证篡改75个trivy-action标签及7个setup-trivy标签，植入恶意依赖。随后，攻击者通过postinstall钩子部署Python后门，利用ICP canister获取C2服务器地址，并通过systemd用户服务实现持久化。攻击者还使用名为CanisterWorm的蠕虫工具，利用被盗npm令牌自动感染47个npm包，其中包括@EmilGroup和@opengov范围内的28个和16个包。部分版本（如@teale.io/eslint-config 1.8.11和1.8.12）具备自主传播能力，任何安...