GitHub 和 Grafana 安全事件很可能與大規模“迷你沙蟲”供應鏈攻擊相關

ChainCatcher 消息，据慢霧發布的威脅情報，近期多個高頻 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud "迷你沙蟲"供應鏈攻擊。npm 帳號 atool 被入侵，攻擊者在 22 分鐘內自動發布了 637 個惡意版本，涉及 317 個包。攻擊者在 35 分鐘內連續上傳 durabletask 1.4.1、1.4.2 和 1.4.3 版本，繞過正常發布控制並冒充微軟官方發布。

GitHub token 大規模洩露事件和 Grafana Labs 遭勒索攻擊很可能與此供應鏈攻擊相關。受影響組件包括 npm 生態系統中的 AntV、Echarts-for-react 等高頻組件，以及 Python 包 durabletask 1.4.1、1.4.2 和 1.4.3。攻擊者可竊取雲和本地憑證、未經授權訪問內部倉庫和敏感雲基礎設施、橫向移動至開發者機器和 CI/CD 管道、銷售和利用洩露的 GitHub token、實施勒索和數據洩露威脅。

慢霧建議立即輪換所有暴露的憑證，替換受影響的包，隔離可能受感染的系統，並實施嚴格依賴審查政策。此前消息，"迷你沙蟲"蠕蟲近期在開源代碼庫裡完成大面積感染，開發者需注意排查。