GitHub 和 Grafana 安全事件很可能與大規模“迷你沙蟲”供應鏈攻擊相關

5 月 20 日（UTC+8），據慢霧釋出的威脅情報，近期多個高頻 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud “迷你沙蟲”供應鏈攻擊。 npm 賬號 atool 被入侵，攻擊者在 22 分鐘內自動釋出了 637 個惡意版本，涉及 317 個包。攻擊者在 35 分鐘內連續上傳 durabletask 1.4.1、1.4.2 和 1.4.3 版本，繞過正常釋出控制並冒充微軟官方釋出。GitHub token 大規模洩露事件和 Grafana Labs 遭勒索攻擊很可能與此供應鏈攻擊相關。 受影響元件包括 npm 生態系統中的 AntV、Echarts-for-react 等高頻元件，以及 Python 包 durabletask 1.4.1、1.4.2 和 1.4.3。攻擊者可竊取雲和本地憑證、未經授權訪問內部倉庫和敏感雲基礎設施、橫向移動至開發者機器和 CI/CD 管道、銷售和利用洩露的 GitHub token、實施勒索和資料洩露威脅。 慢霧建議立即輪換所有暴露的憑證，替換受影響的包，隔離可能受感染的系統，並實施嚴格依賴審查政策。此前訊息，“迷你沙蟲”蠕蟲近期在開原始碼庫裡完成大面積感染，開發者需注意排查。 [ChainCatcher]