PANews는 5월 20일, 암호화폐 분야의 주요 인플루언서인 @mubeitech가 매주 110만 회 다운로드되는 오픈소스 기본 패키지가 악성코드로 분류되었다고 경고했다고 보도했습니다. 해당 패키지의 공급망 보안 점수는 0점으로 급락했습니다. 이는 "Mini Shai-Hulud"라는 코드 웜으로, 최근 오픈소스 코드 저장소에서 대규모 감염을 완료했습니다.

피해 대상 목록은 모두 자주 사용되는 구성 요소들로 이루어져 있습니다. 알리바바의 데이터 시각화 도구인 antv의 수백 개 패키지에 악성 코드가 삽입되었습니다. echarts-for-react와 timeago.js와 같은 널리 사용되는 프런트엔드 도구들도 감염되었습니다. 특히 echarts-for-react는 매주 110만 건의 설치 수를 기록했습니다. 감염 원인은 일반 개발자 계정의 해킹이었습니다. 'atool'이라는 사용자 이름의 계정이 탈취되었고, 해커는 이를 이용해 난독화된 악성 코드를 이러한 하위 수준 구성 요소에 삽입했습니다. 감염된 버전 3.2.7이 배포된 지 불과 19분 만에 취약점 스캔에서 모든 취약점이 악성으로 판정되었습니다.

SlowMist의 최고 정보 보안 책임자인 23pds는 해당 게시물을 전달하고 개발자들에게 조사에 주의를 기울일 것을 당부하는 글을 작성했습니다.