国度汇注与信息安全信息通报中心监测发现，大师主流JavaScript软件包管束平台npm遭“沙虫”（Shai-Hulud）供应链投毒袭击。袭击者攻陷了npm官方景仰者账户，并在短技能内批量投放大齐坏心软件包，触及300余个孤苦门径包的600余个坏心版块，影响多个热点开源表情。当开辟者装配坏心依赖包后，门径会自动在腹田主机、CI/CD活水线环境实犯罪意代码，窃取GitHubToken、npmToken、云干事密钥、SSH私钥、Kubernetes凭证、数据库汇注字符串等敏锐信息。这次投毒袭击具备极强蠕虫式自我复制与横向传播智力，袭击者可哄骗窃取的npm发布权限篡改和二次发布开辟者名下的其他软件包，酿成供应链风险抓续扩散、危害抓续升级。

一、影响领域

主要受影响表情包括echarts-for-react、@antv系列中枢库（@antv/g2、@antv/g6、@antv/x6等）、TanStack系列42个包、MistralAI相干PyPI包以及timeago.js等社区包。受影响对象主要包括前端开辟者、东谈主工智能或机器学习开辟者、开源表景况仰者及企业研发东谈主员等。由于坏心软件具备蠕虫式传播智力，可自动再行发布受害者景仰的其他包，导致分享开辟环境的其他用户及依赖团结景仰者发布的其他软件包的用户也可能濒临障碍感染风险。

二、处理提议

一是插手风险设立。若腹地设立近期装配过相干受影响的npm依赖，开运中国官方网站提议暂停表情脱手开运官网，并断开可疑设立汇注汇注，驻防坏心代码持续外联。二是排查依赖文献。检查package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目次，核实是否存在相等preinstall、postinstall等自动实行剧本。三是计帐残留陈迹。排查ClaudeCodehooks、VSCode任务设立等位置，检查是否存在router_runtime.js、setup.mjs等可疑文献，幸免坏心代码在卸载依赖后持续残留。四是更换敏锐凭证。实时更新GitHubToken、npmToken、云干事密钥、SSH私钥、数据库密码等种种密钥与令牌，对相干账号实行“退出沿路设立”操作。五是晋升安全意志。装配npm第三方依赖前，应核验表情官方着手、近期发布纪录和剧本本色，不盲目装配热点包，优先采选安全厚实的官方版块。