---
title: "黑客在持续进行的供应链攻击中已经入侵了数十个流行的开源软件包"
type: "News"
locale: "zh-CN"
url: "https://longbridge.com/zh-CN/news/286940119.md"
description: "黑客在一次供应链攻击中侵入了多个流行的开源项目，发布了超过 630 个恶意版本，涉及 317 个软件包。此次攻击旨在窃取各种服务的凭证，包括密码管理器。值得注意的被侵入软件包包括阿里巴巴的 Antv 库。这波攻击被称为 “迷你沙丘”，是继之前的黑客活动之后进行的，并且还通过 TanStack 库针对了 OpenAI 的员工"
datetime: "2026-05-19T15:35:21.000Z"
locales:
  - [zh-CN](https://longbridge.com/zh-CN/news/286940119.md)
  - [en](https://longbridge.com/en/news/286940119.md)
  - [zh-HK](https://longbridge.com/zh-HK/news/286940119.md)
---

# 黑客在持续进行的供应链攻击中已经入侵了数十个流行的开源软件包

黑客已经入侵了多个全球软件开发者依赖的流行开源项目，正在进行一场持续的网络攻击。

周二，网络安全公司 StepSecurity 和 SafeDep 警告称，最新一波所谓的 “供应链” 攻击旨在入侵流行开源项目的开发者，并利用该访问权限植入恶意更新，推送给下游用户。

根据 SafeDep 的说法，黑客接管了一名开发者的账户，并在大约 20 分钟内发布了超过 630 个恶意版本，涉及 317 个软件包。此次攻击的目标是窃取各种服务的凭证，包括密码管理器，以此窃取数据并继续传播恶意软件。

在黑客入侵的包中，有阿里巴巴制作的 Antv 库。根据 JFrog Security 的说法，在某些情况下，黑客在 GitHub 上发布了恶意更新。

这波最新的攻击是针对开源项目及其开发者的更大规模运动的一部分。研究人员将这些黑客攻击称为 “迷你沙赫鲁德”，因为此次攻击是在之前更大规模的黑客活动之后进行的。

上周，在迷你沙赫鲁德攻击的另一波攻击中，黑客入侵了两名 OpenAI 员工的计算机，此前他们黑入了开源库 TanStack。OpenAI 只是众多受害者之一。

### 相关股票

- [BABA.US](https://longbridge.com/zh-CN/quote/BABA.US.md)
- [09988.HK](https://longbridge.com/zh-CN/quote/09988.HK.md)
- [FROG.US](https://longbridge.com/zh-CN/quote/FROG.US.md)
- [OpenAI.NA](https://longbridge.com/zh-CN/quote/OpenAI.NA.md)
- [89988.HK](https://longbridge.com/zh-CN/quote/89988.HK.md)
- [HBBD.SG](https://longbridge.com/zh-CN/quote/HBBD.SG.md)

## 相关资讯与研究

- [千问全面接入，有关淘宝的悖论才刚开始](https://longbridge.com/zh-CN/news/286712218.md)
- [当 MuleRun 开始放手：一次有关 AI Native 的组织验证](https://longbridge.com/zh-CN/news/287191718.md)
- [openJiuwen 社区开源新招：重磅发布 JiuwenSwarm，拉开群体智能 “养蜂” 序幕](https://longbridge.com/zh-CN/news/286759953.md)
- [腾讯混元开源全新翻译模型 Hy-MT2 ，上线小程序「腾讯 Hy 翻译」](https://longbridge.com/zh-CN/news/287198958.md)
- [板前模式正在成为 2026 年的造富密码？](https://longbridge.com/zh-CN/news/287022714.md)