Socket 安全研究人员揭露了名为 TrapDoor 的大规模供应链攻击，影响 npm、PyPI 和 Crates.io 生态，已识别出 34 个恶意软件包。攻击主要针对加密货币和 AI 开发者，窃取 SSH 密钥和 AWS 凭证。攻击者通过恶意脚本和后门实现持久化，提醒开发者关注供应链安全。

开源项目Laravel Lang遭黑客攻击，黑客劫持开发者账号发布700多个恶意软件包，窃取开发环境中的凭证。攻击发生在5月22日至23日，开发者需检查相关软件包并更换机密凭证。安全公司建议暂停拉取Laravel Lang软件包，待调查完成后再考虑使用。

网络安全研究人员发现，网络犯罪分子利用Discord webhook作为隐蔽的命令与控制通道，渗透npm、PyPI和RubyGems等平台，窃取开发者敏感文件。恶意软件包通过重写安装命令，悄然将数据发送至攻击者控制的webhook，从而规避检测，导致数据泄露。

在PyPI上，威胁者推广了两个恶意软件包“deepseeek”和“deepseekai”，伪装成DeepSeek的开发者工具。这些软件包窃取开发者的API密钥和数据库凭证。尽管PyPI已迅速隔离并删除这些包，但已有222名开发者下载。建议受害者更换凭证并检查云服务安全。

研究人员发现大量恶意npm软件包伪装成Hardhat开发环境，窃取以太坊开发者的私钥和敏感数据。这些包通过拼写错误诱导用户安装，下载量超过一千次。攻击可能导致未经授权的交易和系统破坏，开发者需谨慎验证软件包的真实性，避免硬编码私钥，并使用锁定文件降低风险。

Revival Hijack是一种新型供应链攻击技术，利用PyPI注册表劫持已删除的软件包并下载恶意软件包。攻击者通过上传恶意版本感染开发者环境，建议企业和开发人员保护自己免受此类攻击。JFrog采取措施创建安全账户替代易受攻击的软件包。

Stacklok发现了一个名为invokehttp的PyPI软件包中的恶意代码。该软件包的元数据存在不一致性，并且与其声称的GitHub仓库没有验证的连接。该软件包看起来是一个用于Python的合法的HTTP请求库，但实际上它从requests库中复制了代码并添加了恶意内容。代码包括一个exec()调用，用于执行从解码的Base64脚本中获取的内容，该脚本根据操作系统下载并执行第二阶段的载荷。该载荷具有远程命令执行、系统控制、数据泄露和检测逃避的功能。该软件包已向PyPI维护人员报告，并迅速从注册表中删除。

网络安全研究人员发现了一个名为pytoileur的恶意Python软件包，用于黑客盗取加密货币。恶意代码被嵌入到软件包的setup.py脚本中，能够执行Base64编码的有效载荷，从外部服务器检索Windows二进制文件。黑客还滥用StackOverflow平台，引导用户安装恶意软件包。

网络安全研究人员在PyPI仓库中发现116个恶意软件包，用于感染Windows和Linux系统。这些软件包已被下载超过1万次，目的是窃取加密货币。研究人员建议开发人员审查下载的代码。

网络安全研究人员发现了一组新的恶意软件包，利用 NuGet 的 MSBuild 集成功能植入恶意代码，传播 SeroXen RAT 远程访问木马。威胁行为者非常谨慎，注重细节，并决心让这一恶意活动保持活跃。

研究人员在Rust编程语言的crate注册表中发现了针对开发人员的恶意软件包，这些软件包能够捕获操作系统信息并传输到Telegram频道。开发人员成为攻击目标，因为他们可以访问SSH密钥、生产基础设施和公司IP。此外，还发现了一个名为emails-helper的npm软件包，该软件包会将机器信息外泄到远程服务器并启动加密二进制文件。开发人员需谨慎。