BTC $63,113.36 +0.92%
ETH $1,781.83 +1.42%
BNB $576.19 +0.64%
XRP $1.14 +2.75%
SOL $81.75 -0.62%
TRX $0.3253 +0.81%
DOGE $0.0777 +0.22%
ADA $0.1916 +6.24%
BCH $234.60 +2.15%
LINK $8.01 +0.81%
HYPE $69.93 -1.04%
AAVE $88.56 +1.37%
SUI $0.7677 -0.26%
XLM $0.2064 +0.93%
ZEC $466.25 +0.52%
BTC $63,113.36 +0.92%
ETH $1,781.83 +1.42%
BNB $576.19 +0.64%
XRP $1.14 +2.75%
SOL $81.75 -0.62%
TRX $0.3253 +0.81%
DOGE $0.0777 +0.22%
ADA $0.1916 +6.24%
BCH $234.60 +2.15%
LINK $8.01 +0.81%
HYPE $69.93 -1.04%
AAVE $88.56 +1.37%
SUI $0.7677 -0.26%
XLM $0.2064 +0.93%
ZEC $466.25 +0.52%

GitHub 和 Grafana 安全事件很可能與大規模“迷你沙蟲”供應鏈攻擊相關

2026-05-20 13:09:55
收藏

ChainCatcher 消息,据慢霧發布的威脅情報,近期多個高頻 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud "迷你沙蟲"供應鏈攻擊。npm 帳號 atool 被入侵,攻擊者在 22 分鐘內自動發布了 637 個惡意版本,涉及 317 個包。攻擊者在 35 分鐘內連續上傳 durabletask 1.4.1、1.4.2 和 1.4.3 版本,繞過正常發布控制並冒充微軟官方發布。

GitHub token 大規模洩露事件和 Grafana Labs 遭勒索攻擊很可能與此供應鏈攻擊相關。受影響組件包括 npm 生態系統中的 AntV、Echarts-for-react 等高頻組件,以及 Python 包 durabletask 1.4.1、1.4.2 和 1.4.3。攻擊者可竊取雲和本地憑證、未經授權訪問內部倉庫和敏感雲基礎設施、橫向移動至開發者機器和 CI/CD 管道、銷售和利用洩露的 GitHub token、實施勒索和數據洩露威脅。

慢霧建議立即輪換所有暴露的憑證,替換受影響的包,隔離可能受感染的系統,並實施嚴格依賴審查政策。此前消息,"迷你沙蟲"蠕蟲近期在開源代碼庫裡完成大面積感染,開發者需注意排查。

app_icon
ChainCatcher 與創新者共建Web3世界