近日，网络安全公司Socket研究团队披露一起新型供应链攻击事件。黑客篡改GitHub上游代码库中的package.json文件，植入恶意Postinstall自动安装脚本。当开发者安装依赖时，脚本执行并下载伪装为'/tmp/.sshd'的木马程序，窃取设备隐私信息。攻击已波及超700个公开代码库。Socket提醒开发人员勿盲目信任第三方依赖，须定期审计Composer配置及自动执行脚本，防范投毒风险。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。