Slowmistによると、5月20日に、AntVやEcharts-for-reactを含む複数の高頻度npmパッケージ、およびPython SDKのdurabletaskが、Mini Shai-Huludのサプライチェーン攻撃によって侵害されたとのことです。
Slowmistは、直ちに公開されているすべてのGitHub、npm、PyPI、およびクラウドの認証情報をローテーションすること、影響を受けたパッケージを検証済みの安全なバージョンに置き換えるか、依存関係のバージョンを凍結すること、侵害の可能性があるシステムを隔離して認証情報の窃取や横展開がないか確認すること、さらに侵入後のアーティファクトを見直しつつCI/CDパイプラインにセキュリティパッチを適用することを推奨しています。
