根据 Slow Mist 威胁情报,近期一种名为“Mini Shai-Hulud”的大规模供应链攻击入侵了 npm 账号 atool,在 22 分钟内向 317 个软件包部署了 637 个恶意版本。包括 AntV 和 Echarts-for-react在内的高频软件包受到影响,同时还有 Python SDK durabletask 版本 1.4.1、1.4.2 和 1.4.3,这些版本被伪装成官方 Microsoft 发布内容后被虚假发布。
该攻击使攻击者能够未经授权访问凭证、内部仓库以及敏感的云端基础设施,并可能横向移动至开发者机器以及 CI/CD 流水线。GitHub 令牌泄露以及 Grafana Labs 最近遭遇的勒索软件事件很可能与此次行动有关。Slow Mist 建议立即轮换已暴露的凭证、替换受影响的软件包、隔离可能已被入侵的系统,并实施严格的依赖项审查政策。
