慢雾:GitHub和Grafana安全事件很可能与大规模「迷你沙虫」供应链攻击相关
作者: MarsBit 快讯
2026-05-20 13:37:36
火星财经消息,5 月 20 日,据慢雾披露,近期多个高频 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud「迷你沙虫」供应链攻击。 慢雾提醒,针对该攻击的缓解措施包括: · 立即轮换所有公开的 GitHub、npm、PyPI 和云凭证; · 将受影响的 npm/PyPI 包替换为经过验证的安全版本,或者冻结依赖项版本; · 隔离可能已被入侵的系统,并审核是否存在凭证被盗或横向转移的情况; · 在 CI/CD 管道中应用安全补丁并审查入侵后工件。 此外还建议:启用对可疑 token 或密钥使用的实时监控和警报、实施更严格的依赖关系审查政策和供应链风险检查、对团队进行培训,使其在安装前验证包装的真伪、监控暗网或地下市场,查看是否有与组织相关的泄露凭证。
