全链网：GitHub和Grafana安全事件很可能与大规模“迷你沙虫”供应链攻击相关

最近开源软件供应链的安全防线，又被撕开了一道口子。根据慢雾安全团队5月20日发布的最新威胁情报，一场代号为“迷你沙虫”的供应链攻击正在蔓延，波及范围远超想象。

这次攻击的典型特征，是速度极快、目标精准。攻击者先是入侵了npm账号“atool”，随后在短短22分钟内，以自动化脚本疯狂发布了637个恶意软件版本，涉及317个不同的软件包。其中，像AntV、Echarts-for-react这类在前端开发中高频使用的组件也未能幸免。更值得警惕的是，攻击者还瞄准了Python生态，在35分钟内连续上传了durabletask的1.4.1、1.4.2和1.4.3三个版本，不仅绕过了正常的发布审核流程，甚至还冒充微软官方进行发布，迷惑性极强。

这场攻击的破坏力，正在逐渐显现。安全研究人员分析认为，近期发生的GitHub令牌大规模泄露事件，以及Grafana Labs遭遇的勒索软件攻击，其背后源头很可能都与这次“迷你沙虫”供应链攻击直接相关。一旦中招，后果是连锁性的：攻击者不仅能窃取云服务与本地环境的各类凭证，还能借此获得内部代码仓库和敏感云基础设施的未授权访问权限。接下来，攻击面会从云端横向移动至开发者的个人机器以及持续集成/持续交付（CI/CD）管道，形成一个完整的攻击闭环。被盗的GitHub令牌可能在黑市被交易和滥用，最终演变为直接的勒索威胁与数据泄露灾难。

面对这种渗透深、扩散快的供应链攻击，被动防御远远不够。慢雾安全团队给出的建议非常明确：立即行动。所有可能暴露的凭证必须立刻轮换更新；项目中所有受影响的依赖包需要尽快识别并替换；同时，隔离可能已被感染的系统，防止威胁进一步扩散。从长远看，建立并严格执行严格的依赖项审查政策，才是治本之策。话说回来，这并非“迷你沙虫”的首次亮相，它近期已在多个开源代码库中完成了大面积感染。对于所有开发者而言，现在正是全面排查项目依赖、加固安全防线的最佳时机。