慢霧：GitHub和Grafana安全事件很可能與大規模“迷你沙蟲”供應鏈攻擊相關

金色財經報道，5月20日，據慢霧發佈的威脅情報，近期多個高頻npm包包括AntV和Echarts-for-react以及Python SDK durabletask遭到Mini Shai-Hulud“迷你沙蟲”供應鏈攻擊。npm賬號atool被入侵，攻擊者在22分鐘內自動發佈了637個惡意版本，涉及317個包。攻擊者在35分鐘內連續上傳durabletask 1.4.1、1.4.2和1.4.3版本，繞過正常發佈控制並冒充微軟官方發佈。 GitHub token大規模泄露事件和Grafana Labs遭勒索攻擊很可能與此供應鏈攻擊相關。受影響組件包括npm生態系統中的AntV、Echarts-for-react等高頻組件，以及Python包durabletask 1.4.1、1.4.2和1.4.3。攻擊者可竊取雲和本地憑證、未經授權訪問內部倉庫和敏感雲基礎設施、橫向移動至開發者機器和CI/CD管道、銷售和利用泄露的GitHub token、實施勒索和數據泄露威脅。 慢霧建議立即輪換所有暴露的憑證，替換受影響的包，隔離可能受感染的系統，並實施嚴格依賴審查政策。此前消息，“迷你沙蟲”蠕蟲近期在開源代碼庫裏完成大面積感染，開發者需注意排查。