据国度收罗安全通报中心，监测发现，众人主流JavaScript软件包不休平台npm遭“沙虫”（Shai-Hulud）供应链投毒挫折。挫折者攻陷了npm官方爱戴者账户，并在短期间内批量投放无数坏心软件包，触及300余个寂寞身手包的600余个坏心版块，影响多个热点开源名堂。当开辟者装配坏心依赖包后，身手会自动在腹田主机、CI/CD活水线环境实造孽意代码，窃取GitHubToken、npmToken、云干事密钥、SSH私钥、Kubernetes把柄、数据库相接字符串等明锐信息。这次投毒挫折具备极强蠕虫式自我复制与横向传播能力，挫折者可欺诈窃取的npm发布权限篡改和二次发布开辟者名下的其他软件包，酿成供应链风险捏续扩散、危害捏续升级。

一、影响范围

主要受影响名堂包括echarts-for-react、@antv系列中枢库（@antv/g2、@antv/g6、@antv/x6等）、TanStack系列42个包、MistralAI关系PyPI包以及timeago.js等社区包。受影响对象主要包括前端开辟者、东谈主工智能或机器学习开辟者、开源名堂爱戴者及企业研发东谈主员等。由于坏心软件具备蠕虫式传播能力，可自动重新发布受害者爱戴的其他包，华游娱乐(中国)官方IOS|Android手机app下载导致分享开辟环境的其他用户及依赖归拢爱戴者发布的其他软件包的用户也可能面对转折感染风险。

二、措置冷落

一是阻隔风险开辟。若腹地开辟近期装配过关系受影响的npm依赖，冷落暂停名堂运转，并断开可疑开辟收罗相接，驻防坏心代码赓续外联。二是排查依赖文献。搜检package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目次，核实是否存在特殊preinstall、postinstall等自动实行剧本。三是计帐残留印迹。排查ClaudeCodehooks、VSCode任务设立等位置，搜检是否存在router_runtime.js、setup.mjs等可疑文献，幸免坏心代码在卸载依赖后赓续残留。四是更换明锐凭证。实时更新GitHubToken、npmToken、云干事密钥、SSH私钥、数据库密码等种种密钥与令牌，对关联账号实行“退出一齐开辟”操作。五是普及安全意志。装配npm第三方依赖前，应核验名堂官方起原、近期发布纪录和剧本实质华游娱乐，不盲目装配热点包，优先采用安全褂讪的官方版块。