---
title: "开源软件包'Mini Shai-Hulud'被识别为恶意软件，对流行工具产生影响"
type: "News"
locale: "zh-CN"
url: "https://longbridge.com/zh-CN/news/286983499.md"
description: "开源软件包 “Mini Shai-Hulud” 被确认为恶意软件，影响了像阿里巴巴的 AntV 和每周下载量达 110 万的 echarts-for-react 等流行工具。恶意软件的发现导致其供应链安全评分为零。此次安全漏洞追溯至一个被攻破的开发者账户 “atool”，该账户的权限被盗，导致多个代码库广泛感染"
datetime: "2026-05-20T00:53:52.000Z"
locales:
  - [zh-CN](https://longbridge.com/zh-CN/news/286983499.md)
  - [en](https://longbridge.com/en/news/286983499.md)
  - [zh-HK](https://longbridge.com/zh-HK/news/286983499.md)
---

# 开源软件包'Mini Shai-Hulud'被识别为恶意软件，对流行工具产生影响

最近，加密货币大 V @mubeitech 发出警报，指出一个开源基础包存在重大安全问题，该包每周下载量达到 110 万次。根据 PANews 的报道，该包已被标记为已知恶意软件，导致其供应链安全评分降至零。该恶意软件名为 'Mini Shai-Hulud'，最近在开源代码库中造成了广泛感染。受影响的组件包括高频工具，如阿里巴巴的数据可视化套件 AntV，报告称有数百个包被注入了恶意代码。其他常用的前端工具，如 echarts-for-react 和 timeago.js 也遭到破坏。值得注意的是，单单 echarts-for-react 的安装率每周就达到 110 万次。此次泄露源于一个普通开发者账户的被攻破，用户名为 'atool'，其权限被盗。

### 相关股票

- [KBAB.US](https://longbridge.com/zh-CN/quote/KBAB.US.md)
- [BABX.US](https://longbridge.com/zh-CN/quote/BABX.US.md)
- [BABA.US](https://longbridge.com/zh-CN/quote/BABA.US.md)
- [09988.HK](https://longbridge.com/zh-CN/quote/09988.HK.md)
- [89988.HK](https://longbridge.com/zh-CN/quote/89988.HK.md)
- [HBBD.SG](https://longbridge.com/zh-CN/quote/HBBD.SG.md)

## 相关资讯与研究

- [高德联合千问开源 AGenUI：一套代码，让 Agent UI 同时跑在 iOS、安卓和鸿蒙上](https://longbridge.com/zh-CN/news/286205647.md)
- [千问全面接入，有关淘宝的悖论才刚开始](https://longbridge.com/zh-CN/news/286712218.md)
- [openJiuwen 社区开源新招：重磅发布 JiuwenSwarm，拉开群体智能 “养蜂” 序幕](https://longbridge.com/zh-CN/news/286759953.md)
- [吃开源饭砸开源的锅](https://longbridge.com/zh-CN/news/286832910.md)
- [腾讯混元开源全新翻译模型 Hy-MT2 ，上线小程序「腾讯 Hy 翻译」](https://longbridge.com/zh-CN/news/287198958.md)