PANewsは5月20日、仮想通貨業界のKOL（キーオピニオンリーダー）である@mubeitechが、週に110万回ダウンロードされているオープンソースの基本パッケージが既知のマルウェアとしてフラグ付けされたと警告したと報じた。そのサプライチェーンセキュリティスコアはゼロにまで急落した。これは「Mini Shai-Hulud」と呼ばれるコードワームで、最近オープンソースコードリポジトリで大規模な感染を完了した。

被害を受けたのは、頻繁に使用されるコンポーネントばかりです。Alibaba のデータ可視化スイート antv の数百のパッケージに悪意のあるコードが注入されました。echarts-for-react や timeago.js などのよく使用されるフロントエンドツールも侵害されました。echarts-for-react だけでも、週に 110 万回インストールされていました。原因は、通常の開発者アカウントの侵害でした。ユーザー名 atool のアカウントが侵害されました。ハッカーは制御を奪取した後、これらの低レベルコンポーネントに難読化された悪意のあるコードを挿入しました。感染したバージョン 3.2.7 がリリースされてからわずか 19 分後には、脆弱性スキャンですべての脆弱性が悪意のあるものとしてフラグ付けされました。

SlowMistの最高情報セキュリティ責任者である23pdsは、この投稿を転送し、開発者に対し調査に注意を払うよう促す記事を執筆した。