SlowMist：分析顯示開源生態系統中存在大量軟體包篡改、令牌盜竊和程式碼庫入侵事件

根據一家區塊鏈安全公司發布的報告 慢霧 在社群媒體平台 X 上，一系列影響廣泛使用的軟體包的供應鏈遭到入侵，有跡象表明這是一場名為「Mini Shai-Hulud」的協同入侵活動。分析表明，包括 AntV 和 Echarts-for-react 在內的多個高流量 npm 庫，以及基於 Python 的 durabletask SDK，都受到了透過被盜用的發布憑證傳播的惡意版本的影響。

報告中描述的事件發生在 2026 年 5 月 19 日，當時與該電子郵件關聯的 npm 帳戶 [email protected] 據稱，該系統遭到入侵。據報道，這次入侵使攻擊者得以發布大量篡改後的軟體包版本，在短短 22 分鐘內，透過 317 個不同的軟體包推送了 637 個惡意版本。此次活動被描述為自動化、高速部署，符合供應鏈操縱策略。

多平台供應鏈入侵和憑證濫用模式的升級

2026年5月20日（北京時間），Python軟體套件durabletask被揭露存在多個篡改版本。據報道，在短短約35分鐘內，該軟體包發布了多個修改版本，包括1.4.1、1.4.2和1.4.3。分析顯示，這些更新繞過了標準的發布控制流程，並試圖模仿微軟的官方軟體分發管道，引發了人們對可信任開發者生態系統中存在冒充行為的擔憂。

該報告進一步將這些事件與更廣泛的安全漏洞聯繫起來，包括涉嫌GitHub令牌洩漏事件和針對Grafana Labs的定向攻擊。在與GitHub相關的事件中，據報道，洩露的憑證是從受感染的員工設備上獲取的，有跡象表明可能與惡意VS Code擴充功能有關。據稱，這些憑證被用於存取並可能竊取私有程式碼庫。此外，據報道，Grafana Labs於2026年5月16日遭遇未經授權的程式碼庫訪問，隨後發生資料外洩和勒索贖金事件。

這次攻擊範圍廣泛，涵蓋 npm 和 Python 生態系統、開發者身分驗證資料以及內部基礎設施機密資訊。報告的目標包括雲端存取金鑰、GitHub 個人存取權杖、npm 和 PyPI 憑證、Kubernetes 機密資訊、Vault 令牌、SSH 金鑰以及開發環境中常見的其他敏感設定檔。內部 GitHub 程式碼庫和企業程式碼庫也被認定為潛在的風險點。

根據威脅分析，疑似攻擊者的活動包括：軟體包安裝後快速竊取憑證、未經授權存取內部系統、在開發和持續整合/持續交付 (CI/CD) 基礎設施中橫向移動，以及轉售或利用洩漏的身份驗證令牌。其他風險包括：攻擊蔓延至依賴的軟體項目，以及可能利用被盜資料進行勒索。

報告中建議的防禦措施包括：立即在雲端平台和開發平台之間輪換暴露的憑證；驗證並取代受影響的軟體包版本；以及隔離可能已遭入侵的系統以進行取證審查。此外，還建議開發人員檢查依賴項鎖定檔案；監控 CI/CD 日誌以發現異常安裝；並審核身分驗證事件以發現令牌濫用的跡象。

該指南進一步強調加強對憑證使用的監控、更嚴格地驗證第三方依賴項，以及主動追蹤洩漏的機密資訊或相關的入侵跡象。此外，指南還鼓勵安全團隊監控地下市場，以防被盜憑證被分發。該公司指出，隨著調查的進展，他們將繼續追蹤事態發展，並向受影響的客戶發布最新情報。