NPM套件再傳遭惡意程式Miasma供應鏈攻擊，AI程式碼工具被鎖定

資安公司Endor Labs、OX Security、SafeDep、StepSecurity於6月3日至5日提出警告，他們偵測到最新一波的Miasma攻擊，有57個套件被入侵，駭客上傳超過286個版本的惡意套件。其中最受到關注的部分，是感染了由社群維護的NPM套件ai-sdk-ollama，用於串接LLM框架Ollama與雲端AI網頁程式開發平臺Vercel AI，每月下載量超過12萬次；另一個受到研究人員關注的受害套件，是由Vapi推出的AI語音助理軟體開發套件（SDK）vapi-ai/server-sdk，每月下載量超過40.8萬次，StepSecurity指出，vapi-ai/server-sdk是本次事故受害最嚴重的套件。

總體而言，OX Security表示，至少有118個GitHub儲存庫被感染，駭客用於存放竊得憑證；Endor Labs於17秒內看到駭客上傳4個惡意套件。