警告：”迷你沙蟲”蠕蟲近期在開源代碼庫裡完成大面積感染，開發者需注意排查

事件概述

近期，名為”迷你沙蟲”（Mini Shai-Hulud）的代碼蠕蟲在開源代碼庫中發動了大規模攻擊，已影響多個高頻使用的開源組件。

受影響的開源項目

• AntV：阿里巴巴的數據可視化套件，數百個包被植入惡意代碼。
• echarts-for-react：前端常用工具，每週裝機量高達110萬次，也遭到感染。
• timeago.js：前端時間格式化工具，同樣被發現存在惡意代碼。

攻擊起因

此次攻擊的起因是開發者賬號”atool”被非法獲取權限，導致惡意代碼得以上傳並擴散至多個開源項目。

安全建議

開發者應立即檢查其項目所依賴的開源組件，尤其是高頻使用的基礎包，以防範潛在的供應鏈安全風險。

來源：https://www.panewslab.com/zh/articles/019e42db-a2ef-7148-aaaa-fe3e3ece6735