慢霧：GitHub和Grafana安全事件很可能與大規模「迷你沙蟲」供應鏈攻擊相關

5 月 20 日，據慢霧披露，近期多個高頻 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud「迷你沙蟲」供應鏈攻擊。 慢霧提醒，針對該攻擊的緩解措施包括： · 立即輪換所有公開的 GitHub、npm、PyPI 和雲憑證； · 將受影響的 npm/PyPI 包替換為經過驗證的安全版本，或者凍結依賴項版本； · 隔離可能已被入侵的系統，並稽核是否存在憑證被盜或橫向轉移的情況； · 在 CI/CD 管道中應用安全補丁並審查入侵後工件。 此外還建議：啟用對可疑 token 或金鑰使用的實時監控和警報、實施更嚴格的依賴關係審查政策和供應鏈風險檢查、對團隊進行培訓，使其在安裝前驗證包裝的真偽、監控暗網或地下市場，檢視是否有與組織相關的洩露憑證。 [BlockBeats]