文章总结： 安全公司Socket披露黑客通过污染GitHub代码库的package.json安装脚本发起供应链攻击，已影响超700项目。恶意脚本在执行时下载木马并伪装成系统进程，建议开发者审查依赖包和自动执行脚本以降低风险。 综合评分： 81 文章分类： 供应链安全,漏洞预警,恶意软件,安全工具,安全意识

【安全圈】安全公司警告有黑客在 GitHub 利用自动安装脚本发起供应链投毒

安全圈

2026年6月7日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

黑客

网络安全公司 Socket 研究团队发文，透露有黑客利用 “Postinstall” 自动安装脚本发起供应链攻击，目前已污染超过 700 个 GitHub 公开代码库。

Socket 表示，黑客在此次攻击事件中首先对 GitHub 多个上游代码仓库动手，悄悄修改 package.json 自动安装脚本，当开发者安装相关依赖时，脚本会自动执行，并下载恶意木马，之后黑客即可趁虚而入进一步获取受害者设备上的隐私信息，并进一步污染更多项目。

同时，为了降低被发现的概率，相应恶意木马还会被保存为 “/tmp/.sshd” 文件，故意伪装成合法 SSH 服务进程名称，从而降低开发者戒心。

Socket 指出，这类供应链投毒方式尤其危险，因为开发者往往默认信任自动化安装流程，一旦上游仓库被污染，下游基本容易 ” 全军覆没 “。因此开发团队应当避免直接信任第三方依赖包，定期重点检查 Composer 包管理工具配置、审计自动执行脚本，以降低供应链攻击带来的安全风险。

END

阅读推荐

【安全圈】深夜，黑客潜入发薪后台！常州武进检察破获特大网络“金库”盗窃案

【安全圈】黑客借山寨 Gemini、Claude 网站散播木马

【安全圈】《GTA 5》外挂服务商遭黑客入侵，近 6.4 万玩家信息泄露

【安全圈】WeedHack 恶意木马曝光，专针对《我的世界》玩家发起攻击

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】安全公司警告有黑客在 GitHub 利用自动安装脚本发起供应链投毒》