慢霧：GitHub和Grafana安全事件很可能與大規模「迷你沙蟲」供應鏈攻擊相關

據慢霧發布的威脅情報，近期多個高頻npm包包括AntV和Echarts-for-react以及Python SDK durabletask遭到Mini Shai-Hulud「迷你沙蟲」供應鏈攻擊。5月19日，npm賬號atool被入侵，攻擊者在22分鐘內自動發布了637個惡意版本，涉及317個包。5月20日北京時間00:19至00:54，攻擊者在35分鐘內連續上傳durabletask 1.4.1、1.4.2和1.4.3版本，繞過正常發布控制並冒充微軟官方發布。 GitHub token大規模洩露事件和Grafana Labs遭勒索攻擊很可能與此供應鏈攻擊相關。