{"id":"2056663559593934971","account":"mubei","brand":"@mubei","title":"每周被下载 110 万次的开源基础包，被系统标记为已知恶意软件。 它的供应链安全评分直接归零。 这是一个名叫“迷你沙虫”…","summary":"每周被下载 110 万次的开源基础包，被系统标记为已知恶意软件。 它的供应链安全评分直接归零。 这是一个名叫“迷你沙虫”（Mini Shai-Hulud）的代码蠕虫。 它近期在开源代码库里完成了大面积感染。 受害者名单里全是高频组件。 阿里巴巴的数据可视化套件 antv，数百个包…","body":"每周被下载 110 万次的开源基础包，被系统标记为已知恶意软件。\n它的供应链安全评分直接归零。\n\n这是一个名叫“迷你沙虫”（Mini Shai-Hulud）的代码蠕虫。\n它近期在开源代码库里完成了大面积感染。\n\n受害者名单里全是高频组件。\n阿里巴巴的数据可视化套件 antv，数百个包被植入恶意代码。\n前端常用的 echarts-for-react、timeago.js 等工具也无一幸免。\n单是 echarts-for-react 这一项，每周的装机量就高达 110 万次。\n\n起因是一个普通开发者账号失守。\n用户名 atool 的账号被盗取了权限。\n黑客接管后，往这些底层组件里塞进了混淆的恶意代码。\n带毒的 3.2.7 版本发布仅仅 19 分钟，漏洞扫描就全红了。\n\n现代软件工业的底层其实非常脆弱。\n无数估值百亿的科技公司，底层都依赖着这些靠个人维护的开源轮子。\n只要一个邮箱的密码被攻破，几百万个下游项目的安全大门就会被同时撬开。","category":"科技","score":83.3,"percentile":83,"reason_tags":[],"translated_x_url":null,"translated_status_id":null,"published_at":"2026-05-19 10:41:06","created_at":"2026-05-19T11:09:38+02:00"}