預警：「迷你沙蟲」蠕蟲近期在開源代碼庫裡完成大面積感染，開發者需注意排查

日期：2026年5月20日 上午8:49PANews 5月20日消息，加密KOL @mubeitech發佈提醒稱，每周被下載110萬次的開源基礎包，被係統標記為已知惡意軟件。它的供應鏈安全評分直接歸零。這是一個名叫「迷你沙蟲」（Mini Shai-Hulud）的代碼蠕蟲。它近期在開源代碼庫裡完成了大面積感染。 受害者名單裡全是高頻組件。阿裡巴巴的數據可視化套件antv，數百個包被植入惡意代碼。前端常用的echarts-for-react、timeago.js等工具也無一幸免。單是echarts-for-react這一項，每周的裝機量就高達110萬次。起因是一個普通開發者賬號失守。用戶名atool的賬號被盜取了權限。

内容來源：PANews