根據 慢霧(Slowmist)表示,5 月 20 日,多個高頻 npm 套件(包含 AntV 與 Echarts-for-react),以及 Python SDK durabletask,遭到 Mini Shai-Hulud 供應鏈攻擊而受損。
慢霧(Slowmist)建議立刻輪替所有已暴露的 GitHub、npm、PyPI 與雲端憑證;以已驗證的安全版本取代受影響的套件,或凍結相依套件版本;隔離可能已遭入侵的系統並檢查是否有憑證竊取或橫向移動;並在 CI/CD 管線中套用安全性修補,同時審查入侵後的相關物件。
