据 Woofun AI 消息，慢雾安全团队披露 npm 生态出现与被盗账户 czirker 关联的新型 Shai-Hulud/Miasma/Hades 恶意软件变种。攻击利用预配置 binding.gyp 文件，在 npm install 执行时触发恶意代码。

目前确认 23 个软件包受影响，其中 leo-logger 周下载量达 3140 次，408 个 GitHub 仓库包含被盗凭据。攻击行为涵盖 GitHub、npm 及 AWS/GCP/Azure 凭证窃取、本地数据外泄、滥用 GitHub Actions 及供应链扩散。慢雾建议检查锁定文件，移除受影响包，轮换各类密钥并强制启用双因素身份验证。