PANewsは5月20日、SlowMistが公開した脅威インテリジェンスによると、AntV、Echarts-for-react、Python SDK durabletaskなど、頻繁に使用される複数のnpmパッケージが最近、Mini Shai-Huludサプライチェーンによって攻撃されたと報じた。5月19日、npmアカウントatoolが侵害され、攻撃者は22分以内に317個のパッケージを含む637個の悪意のあるバージョンを自動的にリリースした。5月20日北京時間00:19から00:54にかけて、攻撃者は通常のリリース制御を回避し、Microsoftの公式リリースを装って、35分以内にdurabletaskのバージョン1.4.1、1.4.2、1.4.3を連続してアップロードした。

大規模なGitHubトークンの漏洩とGrafana Labsへのランサムウェア攻撃は、このサプライチェーン攻撃に関連している可能性が高い。影響を受けるコンポーネントには、AntVやEcharts-for-reactなど、npmエコシステムで頻繁に使用されるコンポーネント、およびPythonパッケージのdurabletask 1.4.1、1.4.2、1.4.3が含まれる。攻撃者は、クラウドおよびオンプレミスの認証情報を盗み、内部リポジトリや機密性の高いクラウドインフラストラクチャへの不正アクセスを取得し、開発者マシンやCI/CDパイプラインに横方向に移動して、漏洩したGitHubトークンを販売および悪用し、ランサムウェアやデータ侵害の脅威を実行する可能性がある。SlowMistは、漏洩したすべての認証情報を直ちにローテーションし、影響を受けるパッケージを置き換え、感染の可能性のあるシステムを隔離し、厳格な依存関係レビューポリシーを実装することを推奨する。

以前の報告によると、 「ミニサンドワーム」ワームが最近オープンソースコードリポジトリで広範囲に感染を引き起こしており、開発者は警戒して調査する必要がある。