5月20日,据慢雾发布的威胁情报,近期多个高频npm包包括AntV和Echarts-for-react以及Python SDK durabletask遭到Mini Shai-Hulud“迷你沙虫”供应链攻击。npm账号atool被入侵,攻击者在22分钟内自动发布了637个恶意版本,涉及317个包。攻击者在35分钟内连续上传durabletask 1.4.1、1.4.2和1.4.3版本,绕过正常发布控制并冒充微软官方发布。 GitHub token大规模泄露事件和Grafana Labs遭勒索攻击很可能与此供应链攻击相关。受影响组件包括npm生态系统中的AntV、Echarts-for-react等高频组件,以及Python包durabletask 1.4.1、1.4.2和1.4.3。攻击者可窃取云和本地凭证、未经授权访问内部仓库和敏感云基础设施、横向移动至开发者机器和CI/CD管道、销售和利用泄露的GitHub token、实施勒索和数据泄露威胁。 慢雾建议立即轮换所有暴露的凭证,替换受影响的包,隔离可能受感染的系统,并实施严格依赖审查政策。此前消息,“迷你沙虫”蠕虫近期在开源代码库里完成大面积感染,开发者需注意排查。