慢霧：GitHub和Grafana安全事件很可能與大規模”迷你沙蟲”供應鏈攻擊相關

攻擊事件概述

近期出現了一場規模龐大的「迷你沙蟲」（Mini Shai-Hulud）供應鏈攻擊，該攻擊針對多個高頻npm包，包括AntV、Echarts-for-react以及Python SDK durabletask，造成廣泛影響。

關鍵攻擊細節

• 2024年5月19日，npm帳號atool遭入侵，攻擊者在22分鐘內自動發布了637個惡意版本，涉及317個包。
• 2024年5月20日00:19至00:54，攻擊者在35分鐘內連續上傳durabletask 1.4.1、1.4.2和1.4.3版本，繞過正常發布控制，並冒充微軟官方發布。

相關事件連結

此事件與GitHub token的大規模洩露，以及Grafana Labs遭勒索攻擊高度相關，顯示供應鏈安全威脅的嚴重性。

來源：https://www.panewslab.com/zh/articles/019e43c9-72fa-705a-83aa-d474179d2581