Foresight News 消息，据慢雾披露，近期多个高频 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud「迷你沙虫」供应链攻击。5 月 19 日，npm 账号 atool 被入侵，攻击者在 22 分钟内自动发布了 637 个恶意版本，涉及 317 个包。5 月 20 日北京时间 00:19 至 00:54，攻击者在 35 分钟内连续上传 durabletask 1.4.1、1.4.2 和 1.4.3 版本，绕过正常发布控制并冒充微软官方发布。GitHub token 大规模泄露事件和 Grafana Labs 遭勒索攻击很可能与此供应链攻击相关。

慢雾提醒，针对该攻击的缓解措施包括：立即轮换所有公开的 GitHub、npm、PyPI 和云凭证；将受影响的 npm/PyPI 包替换为经过验证的安全版本，或者冻结依赖项版本；隔离可能已被入侵的系统，并审核是否存在凭证被盗或横向转移的情况；在 CI/CD 管道中应用安全补丁并审查入侵后工件。此外还建议：启用对可疑 token 或密钥使用的实时监控和警报、实施更严格的依赖关系审查政策和供应链风险检查、对团队进行培训，使其在安装前验证包装的真伪、监控暗网或地下市场，查看是否有与组织相关的泄露凭证。