慢霧:GitHub和Grafana安全事件很可能與大規模“迷你沙蟲”供應鏈攻擊相關
來源 金色財經
金色財經報道,5月20日,據慢霧發佈的威脅情報,近期多個高頻npm包包括AntV和Echarts-for-react以及Python SDK durabletask遭到Mini Shai-Hulud“迷你沙蟲”供應鏈攻擊。npm賬號atool被入侵,攻擊者在22分鐘內自動發佈了637個惡意版本,涉及317個包。攻擊者在35分鐘內連續上傳durabletask 1.4.1、1.4.2和1.4.3版本,繞過正常發佈控制並冒充微軟官方發佈。
GitHub token大規模泄露事件和Grafana Labs遭勒索攻擊很可能與此供應鏈攻擊相關。受影響組件包括npm生態系統中的AntV、Echarts-for-react等高頻組件,以及Python包durabletask 1.4.1、1.4.2和1.4.3。攻擊者可竊取雲和本地憑證、未經授權訪問內部倉庫和敏感雲基礎設施、橫向移動至開發者機器和CI/CD管道、銷售和利用泄露的GitHub token、實施勒索和數據泄露威脅。
慢霧建議立即輪換所有暴露的憑證,替換受影響的包,隔離可能受感染的系統,並實施嚴格依賴審查政策。此前消息,“迷你沙蟲”蠕蟲近期在開源代碼庫裏完成大面積感染,開發者需注意排查。
免責聲明:僅供參考。 過去的表現並不預示未來的結果。
推薦文章
主流大資金參與了拉盤,近期行情會以強勢為主旋律,比特幣震蕩向上。
近些年來,A股公司赴港上市熱度持續升溫,美的集團(00300.HK)、順豐控股(06936.HK)這樣的行業龍頭也紛紛加入「A+H」大軍,目前在A股、H股同時上市的企業已經達到151家。
當前全球債券拋售風暴危機尚未解除,而黃金當前的反彈同樣缺乏堅實的基礎。因能源危機的影響正進一步蔓延向政府債務問題,若問題持續,市場焦點或轉向對各國在試圖緩衝能源價格上漲衝擊之際引發的政府債務隱憂。這或成為壓垮市場的「最後一根稻草」。
5月19日,美元/日圓(USD/JPY)連續第七天上漲,一度突破159。日本當局或再次干預匯市,小心美元/日圓衝高回落風險。
5月20日美股盤後,輝達(NVDA)將公佈2027財年第一季財報。
