快链头条 消息，5 月 20 日，据慢雾披露，近期多个高频 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud「迷你沙虫」供应链攻击。

慢雾提醒，针对该攻击的缓解措施包括：

· 立即轮换所有公开的 GitHub、npm、PyPI 和云凭证；

· 将受影响的 npm/PyPI 包替换为经过验证的安全版本，或者冻结依赖项版本；

· 隔离可能已被入侵的系统，并审核是否存在凭证被盗或横向转移的情况；

· 在 CI/CD 管道中应用安全补丁并审查入侵后工件。

此外还建议：启用对可疑 token 或密钥使用的实时监控和警报、实施更严格的依赖关系审查政策和供应链风险检查、对团队进行培训，使其在安装前验证包装的真伪、监控暗网或地下市场，查看是否有与组织相关的泄露凭证。