PANews 5月20日消息,根據慢霧發布的威脅情報,近期多個高頻npm包包括AntV和Echarts-for-react以及Python SDK durabletask遭到Mini Shai-Hulud「迷你沙蟲」供應鏈攻擊。 5月19日,npm帳號atool被入侵,攻擊者在22分鐘內自動發布了637個惡意版本,涉及317個套件。 5月20日北京時間00:19至00:54,攻擊者在35分鐘內連續上傳durabletask 1.4.1、1.4.2和1.4.3版本,繞過正常發布控制並冒充微軟官方發布。
GitHub token大規模洩漏事件和Grafana Labs遭勒索攻擊很可能與此供應鏈攻擊有關。受影響組件包括npm生態系中的AntV、Echarts-for-react等高頻元件,以及Python套件durabletask 1.4.1、1.4.2和1.4.3。攻擊者可竊取雲端和本地憑證、未經授權存取內部倉庫和敏感雲端基礎設施、橫向移動至開發者機器和CI/CD管道、銷售和利用洩漏的GitHub token、實施勒索和資料外洩威脅。慢霧建議立即輪換所有暴露的憑證,替換受影響的包,隔離可能受感染的系統,並實施嚴格依賴審查政策。
