SlowMist|2026年05月20日 05:02
雾眼TI警报
根据最近的情报,多个高频npm包,包括用于反应的AntV和Echart,以及持久任务Python SDK,都受到了Mini-Shai Hulud供应链攻击的影响。尤其是:
1.2026年5月19日:npm帐户atool(i@hust.cc)被入侵,允许攻击者在22分钟内自动在317个软件包中发布637个恶意版本。
2.2026年5月20日(北京时间):在35分钟内,攻击者在00:19、00:49和00:54连续上传了持久任务版本1.4.1、1.4.2和1.4.3,绕过正常的发布控制,冒充微软官方发布。
此外,这两起事件——大规模的GitHub代币泄漏(可能暴露官方存储库)和Grafana Labs针对性的赎金攻击——可能与Mini-Shai Hulud供应链妥协有关:
•GitHub代币泄露:有证据表明,一些泄露的代币可能被用于访问并可能出售官方GitHub存储库。泄漏是由一个受损的员工设备造成的,该设备涉及一个受污染的VS Code扩展。
Grafana Labs攻击(2026年5月16日):一个网络犯罪组织未经授权访问了他们的GitHub存储库,下载了代码库,并在数据泄露的威胁下发出了赎金要求。
受影响的组件/目标:
•npm包:AntV、用于react的Echart以及npm生态系统中的其他高频组件。
•Python包:持久任务1.4.1、1.4.2、1.4.3。
•开发人员凭据和秘密:GitHub PAT、npm令牌、AWS密钥、Kubernetes秘密、Vault令牌、SSH密钥和90多种本地敏感文件。
•GitHub存储库:内部代码库可能通过泄露的令牌访问。
•Grafana Labs的存储库(被攻击者下载;索要赎金)。
潜在攻击者行动:
•安装或导入软件包后,立即泄露云和本地凭据。
•未经授权访问内部存储库和敏感的云基础设施。
•跨开发人员机器、CI/CD管道和云工作负载的横向移动。
•出售和利用泄露的GitHub代币。
•影响依赖项目和生产系统的供应链妥协。
•针对组织(包括开源平台)的赎金要求和潜在的数据披露威胁。
检测方法:
•审核受影响包的npm和PyPI依赖关系:
•npm:npm ls<package>--全部
•Python:pip list-过时或pip显示durabletask以确认版本。
•检查锁文件(package-lock.json、yarn.lock、pnpm-lock.yaml、requirements.txt、pipfile.lock)是否存在恶意版本。
•审查CI/CD管道和部署日志,以安装受损软件包。
•监控GitHub和云活动中的异常身份验证事件,包括泄露令牌使用的迹象。
缓解措施:
•立即轮换所有公开的GitHub、npm、PyPI和云凭据。
•用经过验证的安全版本或冻结依赖版本替换受影响的npm/PyPI包。
•隔离可能受损的系统,并对凭证被盗或横向移动进行审计。
•在CI/CD管道中应用安全补丁并审查泄露后的工件。
其他建议:
•启用对可疑令牌或密钥使用的实时监控和警报。
•实施更严格的依赖性审查政策和供应链风险检查。
•教育团队在安装前验证软件包的真实性。
•监控暗网或地下市场,以查找与您的组织相关的泄露凭据。
慢雾将继续跟踪和监控与此事件相关的事态发展,包括潜在的新恶意版本或相关漏洞。
MistEye已经向客户推送了相关的威胁情报,以帮助他们主动评估和降低风险。
https://enterprise.misteley.io/威胁情报/SM-2026-650212
https://enterprise.misteye.io/威胁情报/SM-2026-916303
分享至:
脈絡
熱門快訊
APP下載
X
Telegram
複製鏈接