CodexUI Android开源项目被发现暗藏恶意代码，窃取用户的Codex身份验证令牌。尽管GitHub仓库正常，但在NPM和Google Play发布的版本中含有恶意代码。开发者的动机不明，可能通过出售窃取的令牌获利，导致开发者账户被封禁，损失严重。

Socket 安全研究人员揭露了名为 TrapDoor 的大规模供应链攻击，影响 npm、PyPI 和 Crates.io 生态，已识别出 34 个恶意软件包。攻击主要针对加密货币和 AI 开发者，窃取 SSH 密钥和 AWS 凭证。攻击者通过恶意脚本和后门实现持久化，提醒开发者关注供应链安全。

Axion Semiconductor收购了Moov Technologies，增强了其在半导体制造供应链中的地位。Moov是半导体设备市场的领先平台，服务超过55个国家，将继续在德克萨斯州和纽约运营，支持北美、亚洲和欧洲客户。

Apifox官方CDN近期遭遇供应链攻击，恶意JavaScript代码被植入，可能窃取用户敏感信息。受影响版本为2.8.14及以下，用户需立即更新至安全版本，并启用安全模式加强监控。

绿盟科技CERT发现LiteLLM新版本存在凭证窃取程序，系TeamPCP团伙通过供应链攻击发布恶意版本，窃取用户敏感数据。受影响版本为1.82.7和1.82.8，建议用户降级至安全版本1.82.6并检查系统，提醒软件供应链安全的重要性。

黑客团队TeamPCP分享了防止NPM供应链攻击的经验，包括锁定软件包最低年龄、固定版本哈希和使用最小权限凭证。他们建议开发者使用安全软件并限制扩展程序，以降低攻击风险。

黑客团队TeamPCP分享了防止NPM供应链攻击的经验，包括锁定软件包最低年龄、固定版本哈希和使用最小权限凭证等。他们建议开发者使用安全软件和限制扩展程序，以降低被攻击风险。

绿盟科技CERT监测到axios的npm仓库遭受供应链攻击，攻击者发布了带有木马的恶意版本，影响了axios 1.14.1和0.30.4。建议用户立即降级并清除恶意依赖，同时建立安全审计机制以防范此类威胁。

绿盟科技CERT监测到开源AI框架Xinference在PyPI遭受供应链攻击，攻击者发布了3个恶意版本（2.6.0、2.6.1和2.6.2），窃取用户敏感数据。建议用户立即降级至安全版本2.5.0并进行全面排查与防护。此事件强调了开源组件的安全审计和供应链安全的重要性。

知名扩展程序Nx Console遭到供应链攻击，黑客利用窃取的凭证发布恶意版本，导致约3,800个私有源代码仓库泄露。在36分钟内，该扩展被安装超过6,000次。开发者需立即检查并轮换凭证，Nx Console团队已发布清除恶意代码的指南，并将改进发布流程以增强安全性。

知名扩展程序Nx Console遭到供应链攻击，黑客利用窃取的凭证发布恶意版本，导致约3,800个私有源代码仓库泄露。该扩展在36分钟内被安装超过6,000次。开发者需立即检查并轮换凭证，Nx Console团队已发布清除恶意代码的指南，并将改进发布流程以增强安全性。

GitHub遭到TeamPCP黑客团队的供应链攻击，约3800个内部源代码仓库被窃取。黑客通过恶意的Visual Studio Code扩展程序感染GitHub员工设备，获取凭证。GitHub已确认数据泄露并正在采取措施，包括轮换凭证和分析后续活动。