PANews 5月20日消息，加密KOL @mubeitech發布提醒稱，每週被下載110萬次的開源基礎包，被系統標記為已知惡意軟體。它的供應鏈安全分數直接歸零。這是一隻名叫「迷你沙蟲」（Mini Shai-Hulud）的程式碼蠕蟲。它近期在開源程式碼庫裡完成了大面積感染。

受害者名單裡全是高頻組件。阿里巴巴的資料視覺化套件antv，數百個套件被植入惡意程式碼。前端常用的echarts-for-react、timeago.js等工具也無一倖免。光是echarts-for-react這一項，每週的裝機量就高達110萬次。起因是一個普通開發者帳號失守。使用者名稱atool的帳號被盜取了權限。駭客接管後，往這些底層元件裡塞進了混淆的惡意程式碼。帶毒的3.2.7版本發布僅19分鐘後，漏洞掃描即全部變紅。

慢霧首席資訊安全官23pds轉發該貼文並發文提醒開發者註意排查。