根據 Slow Mist 威脅情報,一起被稱為「Mini Shai-Hulud」的大規模供應鏈攻擊近期已入侵 npm 帳戶 atool,並在 22 分鐘內於 317 個套件中部署了 637 個惡意版本。包含 AntV 與 Echarts-for-react 等高頻套件皆受到影響;此外,Python SDK durabletask 版本 1.4.1、1.4.2 與 1.4.3 也遭到偽裝,假借官方 Microsoft 發布名義而被惡意上架。
該攻擊使未經授權的存取成為可能,涵蓋憑證、內部程式庫以及敏感的雲端基礎設施,並可能橫向移動到開發者裝置與 CI/CD 管線。GitHub Token 洩漏以及 Grafana Labs 近期遭受勒索軟體事件,很可能與本次行動有關。Slow Mist 建議立即輪替已暴露的憑證、替換受影響的套件、隔離可能遭到入侵的系統,並實施嚴格的相依套件審查政策。
