本文讲述了一种新颖的供应链攻击方法,作者通过上传恶意Node.js包到npm注册表,利用内部包名称寻找目标公司的安全漏洞,成功入侵了苹果、微软等多家知名企业。主要源于开发者对代码包的盲目信任以及依赖管理工具的设计缺陷。
