预警：“迷你沙虫”蠕虫近期在开源代码库里完成大面积感染，开发者需注意排查

PANews 5月20日消息，加密KOL @mubeitech发布提醒称，每周被下载110万次的开源基础包，被系统标记为已知恶意软件。它的供应链安全评分直接归零。这是一个名叫“迷你沙虫”（Mini Shai-Hulud）的代码蠕虫。它近期在开源代码库里完成了大面积感染。 受害者名单里全是高频组件。阿里巴巴的数据可视化套件antv，数百个包被植入恶意代码。前端常用的echarts-for-react、timeago.js等工具也无一幸免。单是echarts-for-react这一项，每周的装机量就高达110万次。起因是一个普通开发者账号失守。用户名atool的账号被盗取了权限。（PANews） [原文链接]