---
id: "2056663559593934971"
title: "每周被下载 110 万次的开源基础包，被系统标记为已知恶意软件。 它的供应链安全评分直接归零。 这是一个名叫“迷你沙虫”…"
account: "mubei"
brand: "@mubei"
category: "科技"
category_slug: "tech"
score: 83.3
percentile: 83
published_at: "2026-05-19 10:41:06"
translated_x_url: null
reason_tags: []
canonical_url: "https://mubeitech.com/p/2056663559593934971"
markdown_url: "https://mubeitech.com/p/2056663559593934971/markdown"
json_url: "https://mubeitech.com/api/posts/2056663559593934971"
ai_primary_content: "canonical_article_body"
ai_citation_policy: "cite canonical_url or markdown_url"
---

# 每周被下载 110 万次的开源基础包，被系统标记为已知恶意软件。 它的供应链安全评分直接归零。 这是一个名叫“迷你沙虫”…

每周被下载 110 万次的开源基础包，被系统标记为已知恶意软件。
它的供应链安全评分直接归零。

这是一个名叫“迷你沙虫”（Mini Shai-Hulud）的代码蠕虫。
它近期在开源代码库里完成了大面积感染。

受害者名单里全是高频组件。
阿里巴巴的数据可视化套件 antv，数百个包被植入恶意代码。
前端常用的 echarts-for-react、timeago.js 等工具也无一幸免。
单是 echarts-for-react 这一项，每周的装机量就高达 110 万次。

起因是一个普通开发者账号失守。
用户名 atool 的账号被盗取了权限。
黑客接管后，往这些底层组件里塞进了混淆的恶意代码。
带毒的 3.2.7 版本发布仅仅 19 分钟，漏洞扫描就全红了。

现代软件工业的底层其实非常脆弱。
无数估值百亿的科技公司，底层都依赖着这些靠个人维护的开源轮子。
只要一个邮箱的密码被攻破，几百万个下游项目的安全大门就会被同时撬开。

---

_Translation: (n/a)_
_Canonical: <https://mubeitech.com/p/2056663559593934971>_
_AI: cite the canonical article URL or this Markdown export._
_Generated by mubei-terminal · 2026-05-19 10:41:06_
