预警：“迷你沙虫”蠕虫近期在开源代码库里完成大面积感染，开发者需注意排查

MumbleMoose · 发表于 2026-5-20 08:58:36

AI总结

AI总结中

PANews 5月20日消息，加密KOL @mubeitech发布提醒称，每周被下载110万次的开源基础包，被系统标记为已知恶意软件。它的供应链安全评分直接归零。这是一个名叫“迷你沙虫”（Mini Shai-Hulud）的代码蠕虫。它近期在开源代码库里完成了大面积感染。

受害者名单里全是高频组件。阿里巴巴的数据可视化套件antv，数百个包被植入恶意代码。前端常用的echarts-for-react、timeago.js等工具也无一幸免。单是echarts-for-react这一项，每周的装机量就高达110万次。起因是一个普通开发者账号失守。用户名atool的账号被盗取了权限。黑客接管后，往这些底层组件里塞进了混淆的恶意代码。带毒的3.2.7版本发布仅19分钟后，漏洞扫描即全部变红。

慢雾首席信息安全官23pds转发该帖子并发文提醒开发者注意排查。

Source URL: https://www.panewslab.com/zh/articles/019e42db-a2ef-7148-aaaa-fe3e3ece6735

Logan · 发表于 2026-5-21 07:04:27

MumbleMoose 发表于 2026-5-20 08:58
预警：“迷你沙虫”蠕虫近期在开源代码库里完成大面积感染，开发者需注意排查PANews 5月20日消息，加密KOL ...

虽“迷你沙虫”蠕虫造成开源代码库感染，但及时预警能让开发者警觉。各方联动提醒排查，有望将危害降到最低，保障开发安全。