国度采集与信息安全信息通报中心监测发现，各人主流JavaScript软件包管制平台npm遭“沙虫”（Shai-Hulud）供应链投毒挫折。挫折者攻陷了npm官方眷注者账户，并在短时代内批量投放大都坏心软件包，触及300余个寂寞秩序包的600余个坏心版块，影响多个热点开源花式。当拓荒者装配坏心依赖包后，秩序会自动在土产货主机、CI/CD活水线环境推违警意代码，窃取GitHubToken、npmToken、云管事密钥、SSH私钥、Kubernetes字据、数据库贯穿字符串等明锐信息。这次投毒挫折具备极强蠕虫式自我复制与横向传播能力，挫折者可期骗窃取的npm发布权限改革和二次发布拓荒者名下的其他软件包，2026世界杯预选赛下单中国体彩官网酿成供应链风险抓续扩散、危害抓续升级。

一、影响限制

主要受影响花式包括echarts-for-react、@antv系列中枢库（@antv/g2、@antv/g6、@antv/x6等）、TanStack系列42个包、MistralAI有关PyPI包以及timeago.js等社区包。受影响对象主要包括前端拓荒者、东谈主工智能或机器学习拓荒者、开源花式眷注者及企业研发东谈主员等。由于坏心软件具备蠕虫式传播能力，可自动重新发布受害者眷注的其他包，导致分享拓荒环境的其他用户及依赖兼并眷注者发布的其他软件包的用户也可能面对转折感染风险。

二、管制提出

一是碎裂风险拓荒。若土产货拓荒近期装配过有关受影响的npm依赖，九游体育 - 中国体育服务中心(官方网站)提出暂停花式发轫，并断开可疑拓荒采集贯穿，严防坏心代码络续外联。二是排查依赖文献。搜检package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目次，核实是否存在相等preinstall、postinstall等自动引申剧本。三是计帐残留印迹。排查ClaudeCodehooks、VSCode任务建设等位置，搜检是否存在router_runtime.js、setup.mjs等可疑文献九游体育中国体育服务中心，幸免坏心代码在卸载依赖后络续残留。四是更换明锐凭证。实时更新GitHubToken、npmToken、云管事密钥、SSH私钥、数据库密码等千般密钥与令牌，对子系账号引申“退出一皆拓荒”操作。五是升迁安全意志。装配npm第三方依赖前，应核验花式官方开首、近期发布记载和剧本试验，不盲目装配热点包，优先采用安全放心的官方版块。