BTC $63,118.50 +0.90%
ETH $1,782.85 +1.74%
BNB $572.91 +0.23%
XRP $1.14 +2.17%
SOL $81.56 -1.04%
TRX $0.3258 +1.44%
DOGE $0.0781 +0.86%
ADA $0.1915 +5.20%
BCH $231.85 +1.17%
LINK $8.02 +0.90%
HYPE $69.56 -1.49%
AAVE $89.25 +2.11%
SUI $0.7655 -1.34%
XLM $0.2084 +1.44%
ZEC $466.20 +0.80%
BTC $63,118.50 +0.90%
ETH $1,782.85 +1.74%
BNB $572.91 +0.23%
XRP $1.14 +2.17%
SOL $81.56 -1.04%
TRX $0.3258 +1.44%
DOGE $0.0781 +0.86%
ADA $0.1915 +5.20%
BCH $231.85 +1.17%
LINK $8.02 +0.90%
HYPE $69.56 -1.49%
AAVE $89.25 +2.11%
SUI $0.7655 -1.34%
XLM $0.2084 +1.44%
ZEC $466.20 +0.80%

GitHub 和 Grafana 安全事件很可能与大规模“迷你沙虫”供应链攻击相关

2026-05-20 13:09:55
收藏

ChainCatcher 消息,据慢雾发布的威胁情报,近期多个高频 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud “迷你沙虫”供应链攻击。npm 账号 atool 被入侵,攻击者在 22 分钟内自动发布了 637 个恶意版本,涉及 317 个包。攻击者在 35 分钟内连续上传 durabletask 1.4.1、1.4.2 和 1.4.3 版本,绕过正常发布控制并冒充微软官方发布。

GitHub token 大规模泄露事件和 Grafana Labs 遭勒索攻击很可能与此供应链攻击相关。受影响组件包括 npm 生态系统中的 AntV、Echarts-for-react 等高频组件,以及 Python 包 durabletask 1.4.1、1.4.2 和 1.4.3。攻击者可窃取云和本地凭证、未经授权访问内部仓库和敏感云基础设施、横向移动至开发者机器和 CI/CD 管道、销售和利用泄露的 GitHub token、实施勒索和数据泄露威胁。

慢雾建议立即轮换所有暴露的凭证,替换受影响的包,隔离可能受感染的系统,并实施严格依赖审查政策。此前消息,“迷你沙虫”蠕虫近期在开源代码库里完成大面积感染,开发者需注意排查。

app_icon
ChainCatcher 与创新者共建Web3世界