PANews 5月20日消息,加密KOL @mubeitech發佈提醒稱,每周被下載110萬次的開源基礎包,被係統標記為已知惡意軟件。它的供應鏈安全評分直接歸零。這是一個名叫「迷你沙蟲」(Mini Shai-Hulud)的代碼蠕蟲。它近期在開源代碼庫裡完成了大面積感染。 受害者名單裡全是高頻組件。阿裡巴巴的數據可視化套件antv,數百個包被植入惡意代碼。前端常用的echarts-for-react、timeago.js等工具也無一幸免。單是echarts-for-react這一項,每周的裝機量就高達110萬次。起因是一個普通開發者賬號失守。用戶名atool的賬號被盜取了權限。
内容來源:PANews
或
按钮分享