网络安全研究人员在 npm 注册表中发现了一组新的恶意软件包，共计 175 个，这些软件包被用于一场特殊的攻击行动，为凭证窃取攻击提供便利。 据网络安全公司 Socket 透露，这些软件包的总下载量已达 2.6 万次，它们构成了一场大规模钓鱼攻击行动的基础设施。该行动代号为 “比姆格里”（Beamglea），目标直指全球范围内 135 多家工业、科技及能源企业。 安全研究员库什・潘迪亚表示：“尽管这些软件包采用随机命名方式，降低了开发人员误安装的可能性，但下载量中很可能包含安全研究人员、自动扫描程序以及漏洞披露后对软件包进行分析的内容分发网络（CDN）基础设施的相关下载。”...

5月11日，网络安全研究人员在NPM注册表中发现了一些恶意软件包，专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示，“与NPM库中发现的大多数恶意软件相比，这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件，攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示，根据现有证据，这要么是一个复杂的威胁行为，要么是一个“非常激进”的渗透测试。...