在Red Hat Insights 的 JavaScript 包遭受 NPM 供应链攻击的消息传出后的几个小时内,开发人员和系统管理员纷纷紧急检查所有项目是否受到影响。此次攻击会窃取 AWS、GCP、Azure、Kubernetes、HashiCorp Vault、npm 和 CircleCI 的凭证,然后利用窃取的 npm 凭证和 bypass_2fa 设置进行自我传播。攻击者通过 Claude Code 钩子和 VS Code 任务注入建立持久性。如果您已安装受影响的包,请重新配置您的开发硬件。这是因为受影响的依赖项是通过NPM分发的,而 NPM 是此类供应链攻击经常发生的包管理器。 “这是一场可怕的悲剧,但有时候这种事就是会发生,谁也无能为力,”程序员尤拉·豪厄尔女士说道。她的话也道出了数十万程序员的心声,这些程序员使用的软件包管理器是全球唯一一个在过去十年中90%的供应链攻击都发生的地方,他们的项目遭受供应链攻击的可能性是其他项目的20倍。“这很遗憾,但我们又能怎么办呢?如果维护者不愿以稳健的方式保护他们的账户安全,我们真的无力阻止供应链攻击的发生。”截至发稿时,过去一年来,使用这款全球唯一一个每周都会发生一到两次此类漏洞的软件包管理器的用户们,都对自己和自己的处境感到“无助”。
有关更多信息,请参阅 Redhat Insights 的 JavaScript 包发布的上游文档,链接如下: redhat-javascript-clients-06-2026 。
原文: https://xeiaso.net/shitposts/no-way-to-prevent-this/supply-chain/2026-redhat-javascript-clients/