开源软件包'Mini Shai-Hulud'被识别为恶意软件，对流行工具产生影响

最近，加密货币大 V @mubeitech 发出警报，指出一个开源基础包存在重大安全问题，该包每周下载量达到 110 万次。根据 PANews 的报道，该包已被标记为已知恶意软件，导致其供应链安全评分降至零。该恶意软件名为 'Mini Shai-Hulud'，最近在开源代码库中造成了广泛感染。受影响的组件包括高频工具，如阿里巴巴的数据可视化套件 AntV，报告称有数百个包被注入了恶意代码。其他常用的前端工具，如 echarts-for-react 和 timeago.js 也遭到破坏。值得注意的是，单单 echarts-for-react 的安装率每周就达到 110 万次。此次泄露源于一个普通开发者账户的被攻破，用户名为 'atool'，其权限被盗。