Snyk 安全研究人员发布了针对 AI 编码初创公司 Cursor 的恶意 NPM 软件包,这似乎是一种依赖性混淆攻击。据安全研究员 Paul McCarty 称,这些软件包收集系统数据并将其传输到攻击者控制的服务器,并通过经过验证的 Snyk 电子邮件地址发布。 OpenSSF 包分析扫描器将三个包标记为恶意包,生成建议 MAL-2025-27、MAL-2025-28 和 MAL-2025-29。研究人员部署了包“cursor-retrieval”、“cursor-always-local”和“cursor-shadow-workspace”,可能试图利用 Cursor 的同名私有 NPM 包。
在 Slashdot 上阅读这个故事的更多内容。