SlowMist
SlowMist|2026年05月20日 05:02
雾眼TI警报 根据最近的情报,多个高频npm包,包括用于反应的AntV和Echart,以及持久任务Python SDK,都受到了Mini-Shai Hulud供应链攻击的影响。尤其是: 1.2026年5月19日:npm帐户atool(i@hust.cc)被入侵,允许攻击者在22分钟内自动在317个软件包中发布637个恶意版本。 2.2026年5月20日(北京时间):在35分钟内,攻击者在00:19、00:49和00:54连续上传了持久任务版本1.4.1、1.4.2和1.4.3,绕过正常的发布控制,冒充微软官方发布。 此外,这两起事件——大规模的GitHub代币泄漏(可能暴露官方存储库)和Grafana Labs针对性的赎金攻击——可能与Mini-Shai Hulud供应链妥协有关: •GitHub代币泄露:有证据表明,一些泄露的代币可能被用于访问并可能出售官方GitHub存储库。泄漏是由一个受损的员工设备造成的,该设备涉及一个受污染的VS Code扩展。 Grafana Labs攻击(2026年5月16日):一个网络犯罪组织未经授权访问了他们的GitHub存储库,下载了代码库,并在数据泄露的威胁下发出了赎金要求。 受影响的组件/目标: •npm包:AntV、用于react的Echart以及npm生态系统中的其他高频组件。 •Python包:持久任务1.4.1、1.4.2、1.4.3。 •开发人员凭据和秘密:GitHub PAT、npm令牌、AWS密钥、Kubernetes秘密、Vault令牌、SSH密钥和90多种本地敏感文件。 •GitHub存储库:内部代码库可能通过泄露的令牌访问。 •Grafana Labs的存储库(被攻击者下载;索要赎金)。 潜在攻击者行动: •安装或导入软件包后,立即泄露云和本地凭据。 •未经授权访问内部存储库和敏感的云基础设施。 •跨开发人员机器、CI/CD管道和云工作负载的横向移动。 •出售和利用泄露的GitHub代币。 •影响依赖项目和生产系统的供应链妥协。 •针对组织(包括开源平台)的赎金要求和潜在的数据披露威胁。 检测方法: •审核受影响包的npm和PyPI依赖关系: •npm:npm ls<package>--全部 •Python:pip list-过时或pip显示durabletask以确认版本。 •检查锁文件(package-lock.json、yarn.lock、pnpm-lock.yaml、requirements.txt、pipfile.lock)是否存在恶意版本。 •审查CI/CD管道和部署日志,以安装受损软件包。 •监控GitHub和云活动中的异常身份验证事件,包括泄露令牌使用的迹象。 缓解措施: •立即轮换所有公开的GitHub、npm、PyPI和云凭据。 •用经过验证的安全版本或冻结依赖版本替换受影响的npm/PyPI包。 •隔离可能受损的系统,并对凭证被盗或横向移动进行审计。 •在CI/CD管道中应用安全补丁并审查泄露后的工件。 其他建议: •启用对可疑令牌或密钥使用的实时监控和警报。 •实施更严格的依赖性审查政策和供应链风险检查。 •教育团队在安装前验证软件包的真实性。 •监控暗网或地下市场,以查找与您的组织相关的泄露凭据。 慢雾将继续跟踪和监控与此事件相关的事态发展,包括潜在的新恶意版本或相关漏洞。 MistEye已经向客户推送了相关的威胁情报,以帮助他们主动评估和降低风险。 https://enterprise.misteley.io/威胁情报/SM-2026-650212 https://enterprise.misteye.io/威胁情报/SM-2026-916303
+3
曾提及
分享至:

脉络

热门快讯

APP下载

X

Telegram

Facebook

Reddit

复制链接

热门阅读