SlowMist：GitHub 和 Grafana 安全事件可能與大規模「Dependency-Track」供應鏈攻擊有關

5 月 20 日，據 SlowMist 稱，包括 AntV 和 Echarts-for-react 在內的幾個備受矚目的 npm 套件，以及 Python SDK durabletask，已成為 Mini Shai-Hulud 供應鏈攻擊的目標。 SlowMist 提醒說，針對此攻擊的緩解措施包括： · 立即輪換所有公共 GitHub、npm、PyPI 和雲端憑證； · 將受影響的 npm/PyPI 套件替換為經過驗證的安全版本，或凍結依賴版本； · 隔離可能已遭入侵的系統，並調查憑證的盜竊或橫向移動； · 在 CI/CD 管道中應用安全修補程式，並在洩露後檢查對工件的入侵。 此外，建議：啟用對可疑令牌或金鑰使用的即時監控和警報，實施更嚴格的依賴項審查策略和供應鏈風險檢查，培訓團隊在安裝前驗證套件的真實性，以及監控暗網或地下市場中與組織相關的憑證洩露。 [律动]