主流 JavaScript 软件包管理平台 npm 遭供应链投毒攻击,影响多个热门开源项目
发布时间:2026-05-24来源:IT之家
IT之家 5 月 25 日消息,国家网络安全通报中心今日发布预警,称监测发现,全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击。攻击者攻陷了 npm 官方维护者账户,并在短时间内批量投放大量恶意软件包,涉及 300 余个独立程序包的 600 余个恶意版本,影响多个热门开源项目。
据介绍,当开发者安装恶意依赖包后,程序会自动在本地主机、CI / CD 流水线环境执行恶意代码,窃取 GitHub Token、npm Token、云服务密钥、SSH 私钥、Kubernetes 凭据、数据库连接字符串等敏感信息。此次投毒攻击具备极强蠕虫式自我复制与横向传播能力,攻击者可利用窃取的 npm 发布权限篡改和二次发布开发者名下的其他软件包,造成供应链风险持续扩散、危害持续升级。
主要受影响项目包括 echarts-for-react、@antv 系列核心库(@antv/g2、@antv/g6、@antv/x6 等)、TanStack 系列 42 个包、Mistral AI 相关 PyPI 包以及 timeago.js 等社区包。受影响对象主要包括前端开发者、人工智能或机器学习开发者、开源项目维护者及企业研发人员等。
由于恶意软件具备蠕虫式传播能力,可自动重新发布受害者维护的其他包,导致共享开发环境的其他用户及依赖同一维护者发布的其他软件包的用户也可能面临间接感染风险。IT之家附国家网络安全通报中心给出的处置建议如下:
转载说明:本文系转载内容,版权归原作者及原出处所有。转载目的在于传递更多行业信息,文章观点仅代表原作者本人,与本平台立场无关。若涉及作品版权问题,请原作者或相关权利人及时与本平台联系,我们将在第一时间核实后移除相关内容。
