网络安全研究人员于 2026 年 5 月 19 日报告称,作为 Mini Shai-Hulud 攻击的一部分,npm 维护者帐户“atool”下的 @antv 软件包和 echarts-for-react 每周下载量约为 110 万次,遭到破坏。
据 Socket 称,攻击者在总共 323 个软件包中发布了 639 个恶意版本,而 SafeDep 观察到在 22 分钟内爆发了 317 个软件包和 637 个版本。超过 20 种身份验证信息被盗,包括 Amazon Web Services、Google Cloud、Microsoft Azure、GitHub、npm 和 SSH,数据被发送到 t.m-kosche[.]com:443。在 GitHub 上发现了 2000 多个存储库,其中包含一个颠倒的“Shai-Hulud:我们再次出发”的标记。
此次攻击被归咎于出于经济动机的威胁参与者 TeamPCP,Socket、StepSecurity、Endor Labs、Datadog、OX Security 等公司发布了分析报告。
从: 
Mini Shai-Hulud 通过受损的维护者帐户推送恶意 AntV npm 软件包
【编辑部评论】
最近报道的“Mini Shai-Hulud”对 AntV 生态系统的破坏不应被视为一次孤立的网络攻击事件。软件供应链攻击变得“工业化和游戏化”时代的象征性转折点将其视为是适当的。根据撰写本文时(2026年5月)的最新趋势,我们将从innovaTopia的角度进行解释。
首先总结一下事件本身,攻击者攻陷了npm的维护者账户“atool”,多家安全公司确认大量软件包受到污染。根据 SafeDep 的观察,Socket 总共发布了 323 个软件包和 639 个版本,在 22 分钟的极短突发时间内发布了 317 个软件包和 637 个版本。其中大多数是@antv。广泛使用的库,例如每周下载量约为 110 万次的 echarts-for-react、timeago.js 和 size-sensor 都涉及其中,安全公司 Snyk 估计受影响软件包的每周下载总数约为 1600 万次。
案件的实质是“蠕虫(自我复制的恶意软件)已经开始在软件供应链本身中占据一席之地。”这就是重点。 Mini Shai-Hulud 使用从受感染的开发人员和 CI 运行者那里窃取的 npm 令牌来自动枚举、修改和重新发布由其所有者维护的其他软件包。损害范围(Blastradius)像滚雪球一样扩大,一个账户的侵权会导致其他软件包相继被侵权。
Mini Shai-Hulud 活动(包括这一波)中特别值得注意的技术发展是:伪造 Sigstore 证书和 SLSA 来源是。这原本是一种证明“这个包确实是使用合法的 CI 管道创建的”的机制。然而,正如前面的 TanStack 浪潮所证实的那样,通过在 CI 环境中拦截新发行的 OIDC 令牌,该蠕虫能够使用合法证书签署并发布恶意包。正如 StepSecurity 和 Endor Labs 指出的那样,证明可以证明构建的位置,但并不能保证构建得到正式批准。本来应该确保供应链信任的基础设施现在被攻击者用来伪装自己。这就是原因。
还有一点不容忽视的是GitHub本身使用有几件事可以提及。攻击者使用窃取的 GitHub 令牌在受害者的帐户下创建公共存储库,并将窃取的数据作为 JSON 提交。存储库描述上刻有倒写的“Shai-Hulud:Here We Go Again”字样,截至本文,StepSecurity 已确认超过 2,200 个存储库,OX Security 已确认超过 2,100 个存储库,Socket 已确认约 1,900 个存储库。包括源自“Dune(沙星)”的命名约定,攻击者似乎有部分是在炫耀他的足迹。
使情况变得更加严重的是TeamPCP开源代码并与BreachForums联合举办“供应链攻击大赛”是。据Datadog安全实验室称,归属于TeamPCP的完整源代码于2026年5月12日在GitHub上被发现。中奖奖金为1000美元门罗币(约合15万日元,相当于150日元兑换1美元),数额不算大,但这不是钱的问题。由于攻击工具以任何人都可以使用的格式分发,并且人们根据下载的受感染软件包的数量竞争排名,TeamPCP 不再是攻击背后的唯一一方。事实上,已经观察到另一个组织在操作近乎逐字复制的变体,例如“chalk-tempalte”。
这意味着两件大事。一是模仿者的激增使得识别(属性)攻击者变得极其困难。事物。另一件事是,正如 ReversingLabs 的专家评论所警告的那样,供应链攻击活动的数量本身正在进入持续大幅增长的阶段。就是这样。
对于日本读者来说,这个案例绝不是遥远的海外故事。AntV是阿里巴巴蚂蚁集团的一组数据可视化库,广泛应用于企业仪表板、财务报告和图分析平台。echarts-for-react 和 timeago.js(显示相对时间的标准)是可能依赖于前端开发站点的组件。即使在日本,如果组织运行自动更新依赖项的 CI/CD 管道,也可能值得检查影响范围。
从积极的一面来看,Socket 检测的中位时间已缩短至发布后约 6.7 分钟的极短时间,StepSecurity 和 Mend.io 正在实施一种机制,通过“冷却”功能暂时阻止新版本的自动更新,整个行业正在加速实现供应链透明化,例如 SLSA 框架。这个案例将成为社会对此类努力必要性的确认。
从长远的角度来看,我们“曾经被认为可靠的基础设施(npm、GitHub、Sigstore、OIDC)现在被重新用作攻击媒介。”它已经加入了。这不仅仅是更新工具的问题;而是更新工具的问题。这表明我们已经到了重新考虑开发文化本身的阶段,比如“盲目导入依赖的文化”、“忽略锁文件的做法”、“不限制 CI 运行者权限的设计”。技术的进化无法停止,但我们如何更新支持它的信任设计?这个案例向所有开发商、管理者和监管部门提出了这个问题。
【术语解释】
迷你谢胡鲁德
一种蠕虫型恶意软件,通过 npm 等开源注册表进行自我复制的同时进行传播。它利用窃取的身份验证信息将感染陆续传播到其他包。这个名字来源于弗兰克·赫伯特的科幻小说《沙丘》中出现的巨型沙虫“Shya-Hrud”。
预安装钩子
在 npm 包安装过程开始之前自动执行的脚本。该功能原本是为了提前准备,但如果被利用,可以在用户的机器上执行任意代码。
SLSA(软件工件的供应链级别)
确保软件工件供应链完整性的安全框架。证明“它是在哪里以及如何建造的”作为出处(历史信息)。
信号存储
用于简化开源工件的电子签名和验证的公共基础设施。一种通过颁发短期证书来确保工件真实性的机制。
OIDC 令牌(OpenID Connect 令牌)
CI/CD 管道使用的临时身份验证令牌来证明其身份。通过拦截此内容,攻击者可以冒充合法 CI 并进行签名。
爆炸半径
表示某一侵权事件造成损害范围的安全术语。字面翻译是“爆炸半径”。
C&C(命令与控制)基础设施
恶意软件通过其与攻击者通信以接收命令并发送窃取的数据的服务器基础设施。也称为命令和控制服务器。
团队PCP
据信,此次活动的幕后黑手是一个出于经济动机的威胁行为者。自 2025 年以来,它已与 Shai-Hulud 活动相关联,针对多个生态系统,包括 npm、PyPI、GitHub Actions、Docker Hub 和 OpenVSX。
冒名顶替者承诺
一种“欺骗性提交”,不会出现在 GitHub 存储库的官方历史记录(分支或标签)中,但可以通过直接指定 SHA 哈希值从外部检索。这是一种利用Git和GitHub存储提交对象机制的特点的方法。
违规论坛
一个以交易黑客信息和被盗数据而闻名的地下论坛。此次,据称该公司与 TeamPCP 共同举办了“供应链攻击大赛”。
[参考链接]
插座(外部)
一家专门从事 npm 等开源包实时威胁检测的安全公司。
安全部(外部)
一家处理开源供应链安全的平台公司。
步安(外部)
一家为以 GitHub Actions 为中心的 CI/CD 管道提供安全增强功能的公司。
恩多实验室(外部)
一家专门从事软件供应链安全和SBOM管理的美国公司。
Datadog 安全实验室(外部)
大型云监控公司Datadog的安全研究部门发布了威胁分析。
奥克斯安全(外部)
一家提供 AppSec(应用程序安全)平台的以色列公司。
逆向实验室(外部)
提供软件供应链安全和威胁情报的美国公司。
AntV(蚂蚁集团)(外部)
阿里巴巴旗下蚂蚁集团开发并发布的一组数据可视化库的官方网站。
npm公式(外部)
JavaScript 包注册表的主页。由 Microsoft 通过 GitHub 运营。
SLSA框架官方(外部)
软件供应链完整性标准框架的官方网站。
[参考文章]
主动供应链攻击损害了 npm(Socket) 上的@antv 软件包(外部)
Socket 的主要报告。 639 个版本和 323 个软件包被泄露,中位检测时间为 6.7 分钟。
Mini Shai-Hulud 再次出击:317 个 npm 软件包受损(SafeDep)(外部)
从技术上详细解释了317个包和637个版本是如何在22分钟内爆出的。
Shai-Hulud:我们再次出发(StepSecurity)(外部)
GitHub 上 2,200 多个存储库的详细信息以及源自 Dune 的命名约定标记。
Shai-Hulud 开源(Datadog 安全实验室)(外部)
确认2026年5月12日TeamPCP源代码发布,并分析OIDC滥用等技术影响。
TeamPCP 升级游戏,发布 Shai-Hulud 蠕虫源代码(SecurityWeek)(外部)
涵盖了源代码发布和 BreachForums 竞赛的背景,以及对模仿者传播的担忧。
Shai-Hulud 代码丢失:供应链攻击的开放季节(ReversingLabs)(外部)
一篇分析文章引用了专家的评论并警告供应链攻击活动持续增加。
[相关文章]
OpenAI、TanStack npm供应链攻击危害两台员工终端——macOS版本ChatGPT等必须在6月12日前更新
2026 年 5 月 TanStack 浪潮期间,两台 OpenAI 员工终端遭到入侵的事件。这是同一活动的先例,发生在 AntV 浪潮之前。
“可信包装”正在崩溃吗? Shai-Hulud 2.0 显示了 npm 供应链攻击的新阶段
2025 年 11 月的 Shai-Hulud 2.0 活动说明。这是超过 700 个 npm 包和 25,000 个 GitHub 存储库遭到入侵的前奏。
安全工具成为致命武器的那一天——TeamPCP Trivy/LiteLLM 漏洞的完整故事
2026 年 3 月的 Trivy/LiteLLM 侵权案。它被定位为 TeamPCP 的过去示例,与当前的 AntV 浪潮是同一威胁参与者。
npm 历史上最大规模的供应链攻击:包括 chalk 和 debug 在内的 18 个软件包遭到破坏,导致每周下载量达到 26 亿次
2025 年 9 月,npm 网络钓鱼引发的大规模侵权事件。Shai-Hulud 谱系中提到的基本案例。
[编者后记]
平时随意npm install当你运行一个项目的那一刻,全世界开发者的双手就与它相连。此次事件表明,这条信任链也是攻击者最容易瞄准的地方。
您最后一次检查常用库的依赖关系是什么时候?查看锁定文件后,您可能会发现一个您不认识的包名称列表。大家将如何处理这个问题呢?