安全团队检测到名为Shai-Hulud的供应链攻击活动。攻击者向npm注册表上传了600多个恶意软件包。这些软件包伪装成@antv生态系统的合法依赖项。@antv是流行的数据可视化库集合。恶意包通过依赖项混淆技术进行传播。攻击发生在2023年7月至9月期间。恶意代码会窃取敏感开发环境信息。攻击者可能利用获取的凭证进行后续攻击。受影响项目需检查package.json中的依赖项。建议使用npm audit或类似工具扫描项目。供应链攻击已成为开源生态系统的重大威胁。此类攻击通常针对开发工具的依赖关系链。