微型沙虫蠕虫通过单一被盗账户在30分钟内劫持323个npm软件包_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

微型沙虫蠕虫通过单一被盗账户在30分钟内劫持323个npm软件包

2026-05-20 12:46:26

5月19日恶意软件攻击事件分析

5月19日，Mini Shai-Hulud蠕虫在30分钟内成功控制某npm维护者账户，并向323个软件包推送了639个恶意版本。该账户维护着阿里巴巴整套AntV数据可视化工具链，以及应用于加密货币仪表板、去中心化金融前端和金融科技领域的独立组件库。

受影响最严重的组件包括：周下载量达420万次的size-sensor、110万次的echarts-for-react、220万次的@antv/scale以及115万次的timeago.js。当开发环境执行全新安装时，使用语义版本控制范围的工程会自动解析到恶意版本。

恶意载荷窃取机制

该恶意软件能窃取超过20类凭证信息，涵盖云服务平台密钥、代码托管平台令牌、数据库连接字符串及本地密码管理工具数据等。数据外传通过双重通道进行：首先将加密数据发送至命令控制服务器，同时利用被窃取的令牌创建公开代码仓库作为备用传输渠道。

安全研究人员发现，在基于Linux系统的设备中，该蠕虫会创建常驻系统服务，确保在软件包被移除后仍可持续运行。它还会修改开发环境配置文件以维持激活状态。

攻击活动持续演进

本次事件已是该系列攻击的第三波浪潮。安全团队通过监测发现，攻击者已渗透多个主流软件包仓库。相关威胁组织曾在黑客论坛推广其攻击工具，目前已出现使用不同控制服务器的仿制变种。

安全专家建议受影响环境应视为完全失陷处理，需立即采取凭证轮换、访问令牌撤销、账户多因素认证强化等措施，并全面审计代码仓库中的异常活动。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文