据 Socket.dev 称,npm 账户 atool 遭入侵后,攻击者向包括 echarts-for-react 和阿里巴巴 @antv 库在内的广泛使用软件包推送了恶意更新,使加密货币、去中心化金融(DeFi)和金融科技开发环境面临凭证被盗风险。
5月19日,Mini Shai-Hulud 软件供应链蠕虫攻陷 npm 账户“atool”,并在不到 30 分钟内向 323 个软件包发布了 639 个恶意版本。受影响的软件包包括 echarts-for-react、size-sensor、@antv/scale、timeago.js 及其他阿里巴巴 @antv 相关组件,这些组件被用于加密货币仪表盘、去中心化金融(DeFi)(基于区块链的金融)前端和金融科技应用。根据 Socket.dev 的说法,经过混淆的恶意软件可窃取 20 多种凭证,使用 AES-256-GCM 对数据加密,并将其外传至命令与控制服务器,或利用窃取的 GitHub 令牌传送至攻击者创建的公共代码库。StepSecurity 表示,已有超过 2,500 个 GitHub 代码库显示出相关迹象。该蠕虫还使用 OpenTelemetry 跟踪、在 Linux 上创建 systemd 用户服务以维持持久化,并修改 .vscode 和 .claude 文件以在开发环境中重新激活。SlowMist CSO 23pds 敦促开发者调查暴露情况,而该事件被描述为更广泛 Shai-Hulud 攻击行动的第三波。