国度采集与信息安全信息通报中心监测发现，大家主流JavaScript软件包管束平台npm遭“沙虫”（Shai-Hulud）供应链投毒挫折。挫折者攻陷了npm官方崇敬者账户，并在短时间内批量投放无数坏心软件包，波及300余个沉静治安包的600余个坏心版块，影响多个热点开源相貌。当开荒者装配坏心依赖包后，治安会自动在腹田主机、CI/CD活水线环境履行坏心代码，窃取GitHubToken、npmToken、云干事密钥、SSH私钥、Kubernetes阐发、数据库集中字符串等敏锐信息。这次投毒挫折具备极强蠕虫式自我复制与横向传播智商，挫折者可运用窃取的npm发布权限删改和二次发布开荒者名下的其他软件包，2026世界杯滚球中国官网形成供应链风险捏续扩散、危害捏续升级。

一、影响界限

主要受影响相貌包括echarts-for-react、@antv系列中枢库（@antv/g2、@antv/g6、@antv/x6等）、TanStack系列42个包、MistralAI联系PyPI包以及timeago.js等社区包。受影响对象主要包括前端开荒者、东谈主工智能或机器学习开荒者、开源相貌崇敬者及企业研发东谈主员等。由于坏心软件具备蠕虫式传播智商，可自动重新发布受害者崇敬的其他包，导致分享开荒环境的其他用户及依赖归拢崇敬者发布的其他软件包的用户也可能靠近曲折感染风险。

二、处理漠视

一是碎裂风险建设。若腹地建设近期装配过联系受影响的npm依赖，AG真人2026世界杯中国官网漠视暂停相貌运转，并断开可疑建设采蕴蓄集，预防坏心代码不时外联。二是排查依赖文献。查验package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目次，核实是否存在高出preinstall、postinstall等自动履行剧本。三是计帐残留踪迹。排查ClaudeCodehooks、VSCode任务配置等位置，查验是否存在router_runtime.js、setup.mjs等可疑文献，幸免坏心代码在卸载依赖后不时残留。四是更换敏锐凭证。实时更新GitHubToken、npmToken、云干事密钥、SSH私钥、数据库密码等各样密钥与令牌，对关联账号履行“退出一谈建设”操作。五是擢升安全坚硬。装配npm第三方依赖前，应核验相貌官方开头、近期发布记载和剧本本色AG真人(中国·国际)官方网站，不盲目装配热点包，优先遴选安全安详的官方版块。