据国度采集安全通报中心，监测发现，民众主流JavaScript软件包照顾平台npm遭“沙虫”（Shai-Hulud）供应链投毒报复。报复者攻陷了npm官方真贵者账户，并在短时辰内批量投放大齐坏心软件包，波及300余个镇定表率包的600余个坏心版块，影响多个热点开源样子。当开荒者装配坏心依赖包后，表率会自动在土产货主机、CI/CD活水线环境履造孽意代码，窃取GitHubToken、npmToken、云做事密钥、SSH私钥、Kubernetes凭证、数据库承接字符串等敏锐信息。这次投毒报复具备极强蠕虫式自我复制与横向传播智力，报复者可运用窃取的npm发布权限更正和二次发布开荒者名下的其他软件包，酿成供应链风险执续扩散、危害执续升级。

一、影响规模

主要受影响样子包括echarts-for-react、@antv系列中枢库（@antv/g2、@antv/g6、@antv/x6等）、TanStack系列42个包、MistralAI操办PyPI包以及timeago.js等社区包。受影响对象主要包括前端开荒者、东说念主工智能或机器学习开荒者、开源样子真贵者及企业研发东说念主员等。由于坏心软件具备蠕虫式传播智力，可自动再行发布受害者真贵的其他包，开云kaiyun中国官网入口导致分享开荒环境的其他用户及依赖吞并真贵者发布的其他软件包的用户也可能濒临障碍感染风险。

二、处理提议

一是拆伙风险建造。若土产货建造近期装配过操办受影响的npm依赖，提议暂停样子启动开云官网入口，并断开可疑建造采集承接，退缩坏心代码不绝外联。二是排查依赖文献。搜检package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目次，核实是否存在越过preinstall、postinstall等自动本质剧本。三是计帐残留陈迹。排查ClaudeCodehooks、VSCode任务成立等位置，搜检是否存在router_runtime.js、setup.mjs等可疑文献，幸免坏心代码在卸载依赖后不绝残留。四是更换敏锐凭证。实时更新GitHubToken、npmToken、云做事密钥、SSH私钥、数据库密码等各种密钥与令牌，对关联账号本质“退出一起建造”操作。五是普及安全意志。装配npm第三方依赖前，应核验样子官方起原、近期发布记载和剧本本色，不盲目装配热点包，优先采取安全褂讪的官方版块。