---
title: "黑客在持續進行的供應鏈攻擊中已經入侵了數十個流行的開源軟件包"
type: "News"
locale: "zh-HK"
url: "https://longbridge.com/zh-HK/news/286940119.md"
description: "黑客在一次供應鏈攻擊中侵入了多個流行的開源項目，發佈了超過 630 個惡意版本，涉及 317 個軟件包。此次攻擊旨在竊取各種服務的憑證，包括密碼管理器。值得注意的被侵入軟件包包括阿里巴巴的 Antv 庫。這波攻擊被稱為 “迷你沙丘”，是繼之前的黑客活動之後進行的，並且還通過 TanStack 庫針對了 OpenAI 的員工"
datetime: "2026-05-19T15:35:21.000Z"
locales:
  - [zh-CN](https://longbridge.com/zh-CN/news/286940119.md)
  - [en](https://longbridge.com/en/news/286940119.md)
  - [zh-HK](https://longbridge.com/zh-HK/news/286940119.md)
---

# 黑客在持續進行的供應鏈攻擊中已經入侵了數十個流行的開源軟件包

黑客已經入侵了多個全球軟件開發者依賴的流行開源項目，正在進行一場持續的網絡攻擊。

週二，網絡安全公司 StepSecurity 和 SafeDep 警告稱，最新一波所謂的 “供應鏈” 攻擊旨在入侵流行開源項目的開發者，並利用該訪問權限植入惡意更新，推送給下游用户。

根據 SafeDep 的説法，黑客接管了一名開發者的賬户，並在大約 20 分鐘內發佈了超過 630 個惡意版本，涉及 317 個軟件包。此次攻擊的目標是竊取各種服務的憑證，包括密碼管理器，以此竊取數據並繼續傳播惡意軟件。

在黑客入侵的包中，有阿里巴巴製作的 Antv 庫。根據 JFrog Security 的説法，在某些情況下，黑客在 GitHub 上發佈了惡意更新。

這波最新的攻擊是針對開源項目及其開發者的更大規模運動的一部分。研究人員將這些黑客攻擊稱為 “迷你沙赫魯德”，因為此次攻擊是在之前更大規模的黑客活動之後進行的。

上週，在迷你沙赫魯德攻擊的另一波攻擊中，黑客入侵了兩名 OpenAI 員工的計算機，此前他們黑入了開源庫 TanStack。OpenAI 只是眾多受害者之一。

### 相關股票

- [BABA.US](https://longbridge.com/zh-HK/quote/BABA.US.md)
- [09988.HK](https://longbridge.com/zh-HK/quote/09988.HK.md)
- [FROG.US](https://longbridge.com/zh-HK/quote/FROG.US.md)
- [OpenAI.NA](https://longbridge.com/zh-HK/quote/OpenAI.NA.md)
- [89988.HK](https://longbridge.com/zh-HK/quote/89988.HK.md)
- [HBBD.SG](https://longbridge.com/zh-HK/quote/HBBD.SG.md)

## 相關資訊與研究

- [淘寶 618 起跑 在台補貼千萬運費衝買氣 AI 助理正式上線](https://longbridge.com/zh-HK/news/287181923.md)
- [AI 丨通義千問前負責人創辦 AI 實驗室傳籌資 估值料 156 億](https://longbridge.com/zh-HK/news/286215819.md)
- [馬斯克告 OpenAI 慘敗！1500 億美元訴訟遭駁回，關鍵竟是「太晚提告」](https://longbridge.com/zh-HK/news/287066257.md)
- [【AI】阿里雲發布平頭哥真武 M890 及 ICN Switch 互聯芯片](https://longbridge.com/zh-HK/news/287001897.md)
- [OpenAI 傳最快本週提交 IPO 文件 目標 9 月上市](https://longbridge.com/zh-HK/news/287097443.md)