慢雾：多款 npm 包和 Python SDK 遭“迷你沙虫”攻击

据慢雾威胁情报，AntV、Echarts-for-react 等npm 包及 Python SDK durabletask 近期遭“迷你沙虫”供应链攻击。5 月19 日，npm 账号 atool 被入侵，攻击者 22 分钟内发布 637 个恶意版本，涉及 317 个包。5 月20 日（UTC+8）00:19 至00:54，durabletask 1.4.1 至1.4.3 版本被连续上传，冒充微软官方发布。GitHub token 泄露和 Grafana Labs 勒索事件可能与此攻击相关。