据 慢雾 透露,5 月 20 日,多款高频 npm 包遭到破坏,包括 AntV 和 Echarts-for-react,以及 Python SDK durabletask,均源于一次 Mini Shai-Hulud 供应链攻击。

慢雾 建议立即轮换所有暴露的 GitHub、npm、PyPI 和云凭证;用经过验证的安全版本替换受影响的包或冻结依赖版本;隔离可能遭到破坏的系统,并检查凭证窃取或横向移动;在 CI/CD 流水线中应用安全补丁,同时审查入侵后的痕迹。