大规模 npm 供应链攻击持续，黑客 20 分钟内发布 630 个恶意版本 事件

大规模 npm 供应链攻击持续，黑客 20 分钟内发布 630 个恶意版本 开源生态正在经历一场持续升级的供应链攻击。5月19日，安全公司StepSecurity和SafeDep警告称，一场针对npm生态的大规模攻击活动正在进行中——攻击者入侵了热门开源项目开发者账户，在约20分钟内发布了超过630个恶意版本，涉及317个npm包。 这轮攻击被安全研究人员命名为"Mini Shai-Hulud"，是此前更大规模Shai-Hulud攻击活动的后续。攻击者通过获取开发者账户权限，向npm仓库推送恶意更新，利用下游开发者对开源包的信任实现横向渗透。SafeDep指出，攻击者的目标是窃取开发者的各类凭证——包括密码管理器的访问权限——以窃取数据并进一步传播恶意软件。 在这轮攻击中，阿里巴巴的Antv库成为主要目标之一。安全公司JFrog Security的调查显示，在某些情况下攻击者直接在GitHub上发布了恶意更新。被入侵的项目还包括TanStack——上周攻击者通过入侵TanStack的开发者计算机，进一步渗透了多名OpenAI员工的设备，OpenAI只是众多受害者之一。 这轮攻