据 PANews 5 月 20 日报道,包括 echarts-for-react(每周 110 万次下载)在内的开源软件包,以及其他高频组件,已被“Mini Shai-Hulud”恶意软件蠕虫感染。被感染的版本 3.2.7 在发布后 19 分钟内就被标记为恶意软件,软件包的供应链安全评分降至零。该攻击源自遭到入侵的开发者账号(用户名:atool),攻击者使用该账号向多个依赖项注入了经过混淆的恶意代码。