慢雾：GitHub和Grafana安全事件很可能与大规模「迷你沙虫」供应链攻击相关

火星财经消息，5 月 20 日，据慢雾披露，近期多个高频 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud「迷你沙虫」供应链攻击。 慢雾提醒，针对该攻击的缓解措施包括： · 立即轮换所有公开的 GitHub、npm、PyPI 和云凭证； · 将受影响的 npm/PyPI 包替换为经过验证的安全版本，或者冻结依赖项版本； · 隔离可能已被入侵的系统，并审核是否存在凭证被盗或横向转移的情况； · 在 CI/CD 管道中应用安全补丁并审查入侵后工件。 此外还建议：启用对可疑 token 或密钥使用的实时监控和警报、实施更严格的依赖关系审查政策和供应链风险检查、对团队进行培训，使其在安装前验证包装的真伪、监控暗网或地下市场，查看是否有与组织相关的泄露凭证。

「查看原文」