多家安全厂商近期接连发出预警，npm 代码仓库正遭遇新一轮网络攻击。此次攻击手法与此前的 “沙虫” 攻击如出一辙，这轮被命名为 “沙虫二号” 的供应链攻击事件已入侵数百个 npm 软件包。据艾基多、螺旋卫士、锦鲤安全、赛克特、斯特普安全及维兹安全等机构报告， 维兹安全的研究人员指出：“此次攻击推出了恶意代码的新型变种，其会在软件预安装阶段执行恶意程序，这使得代码构建与运行环境面临的安全风险大幅上升。” 今年 9 月，“沙虫” 攻击事件浮出水面。与该事件类似，此次攻击也会将窃取的机密信息上传至代码托管平台吉特哈伯，且相关代码仓库的描述标注为 “沙虫二号：卷土重来”。...