據(jù)國家網(wǎng)絡(luò)安全通報中心消息，監(jiān)測發(fā)現(xiàn)，全球主流JavaScript軟件包管理平臺npm遭“沙蟲”（Shai-Hulud）供應(yīng)鏈投毒攻擊。攻擊者攻陷了npm官方維護者賬戶，并在短時間內(nèi)批量投放大量惡意軟件包，涉及300余個獨立程序包的600余個惡意版本，影響多個熱門開源項目。當開發(fā)者安裝惡意依賴包后，程序會自動在本地主機、CI/CD流水線環(huán)境執(zhí)行惡意代碼，竊取GitHub Token、npm Token、云服務(wù)密鑰、SSH私鑰、Kubernetes憑據(jù)、數(shù)據(jù)庫連接字符串等敏感信息。此次投毒攻擊具備極強蠕蟲式自我復(fù)制與橫向傳播能力，攻擊者可利用竊取的npm發(fā)布權(quán)限篡改和二次發(fā)布開發(fā)者名下的其他軟件包，造成供應(yīng)鏈風(fēng)險持續(xù)擴散、危害持續(xù)升級。

 一、影響范圍

主要受影響項目包括echarts-for-react、@antv系列核心庫（@antv/g2、@antv/g6、@antv/x6等）、TanStack系列42個包、Mistral AI相關(guān)PyPI包以及timeago.js等社區(qū)包。受影響對象主要包括前端開發(fā)者、人工智能或機器學(xué)習(xí)開發(fā)者、開源項目維護者及企業(yè)研發(fā)人員等。由于惡意軟件具備蠕蟲式傳播能力，可自動重新發(fā)布受害者維護的其他包，導(dǎo)致共享開發(fā)環(huán)境的其他用戶及依賴同一維護者發(fā)布的其他軟件包的用戶也可能面臨間接感染風(fēng)險。

 二、處置建議

一是隔離風(fēng)險設(shè)備。若本地設(shè)備近期安裝過相關(guān)受影響的npm依賴，建議暫停項目運行，并斷開可疑設(shè)備網(wǎng)絡(luò)連接，防止惡意代碼繼續(xù)外聯(lián)。二是排查依賴文件。檢查package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目錄，核實是否存在異常preinstall、postinstall等自動執(zhí)行腳本。三是清理殘留痕跡。排查Claude Code hooks、VS Code任務(wù)配置等位置，檢查是否存在router_runtime.js、setup.mjs等可疑文件，避免惡意代碼在卸載依賴后繼續(xù)殘留。四是更換敏感憑證。及時更新GitHub Token、npm Token、云服務(wù)密鑰、SSH私鑰、數(shù)據(jù)庫密碼等各類密鑰與令牌，對關(guān)聯(lián)賬號執(zhí)行“退出全部設(shè)備”操作。五是提升安全意識。安裝npm第三方依賴前，應(yīng)核驗項目官方來源、近期發(fā)布記錄和腳本內(nèi)容，不盲目安裝熱門包，優(yōu)先選用安全穩(wěn)定的官方版本。

（來源：國家網(wǎng)絡(luò)安全通報中心）