#前端 #供应链攻击 #npm #安全 #新动态想必大家都看麻了x早用 pnpm 早超生，俩周以内的依赖更新不装（（Active Supply Chain Attack Compromises @antv Packages on npm：npm 上的 AntV 可视化库包被植入恶意代码，构成活跃的供应链攻击

Tue, 19 May 2026 05:58:34 GMT

#前端 #供应链攻击 #npm #安全 #新动态
想必大家都看麻了x
早用 pnpm 早超生，俩周以内的依赖更新不装（（
Active Supply Chain Attack Compromises @antv Packages on npm：npm 上的 AntV 可视化库包被植入恶意代码，构成活跃的供应链攻击。

AI 摘要：2026 年 5 月，Socket Research Team 发现 @antv 系列 npm 包遭到供应链攻击，攻击者发布恶意版本，通过 postinstall 脚本窃取环境变量和 npm token，影响 @antv/g6、@antv/util 等多个核心包，建议用户立即版本锁定并轮换密钥。

[以下是方便搜索索引的大纲(AI 生成)，请读原文]

1. 攻击事件概览
• 2026 年 5 月 11–19 日期间，大量 @antv 子包集中发布恶意版本，时间戳显示攻击窗口集中。
• Socket 安全团队通过实时包监控（package monitoring）发现异常发布行为并发出警报。

2. 攻击手法与技术细节
• 恶意代码嵌入 postinstall 钩子，安装时自动执行，窃取系统环境变量、npm token 及敏感配置。
• 攻击者利用泄露的维护者凭据或通过社会工程学获取 npm 发布权限。

3. 受影响包范围
• 涉及 @antv/scale、@antv/attr、@antv/component、@antv/g6 等数十个包的多个版本。
• 所有在 2026-05-11 至 2026-05-19 时间窗口内发布的版本均为恶意版本。

4. 紧急缓解措施
• 锁定依赖版本，避免使用上述时间窗口内的版本。
• 运行 npm audit 或使用 Socket 工具扫描项目并移除受影响包。
• 立即轮换所有可能泄露的 npm token、环境变量及 API 密钥。
• 关注 AntV 官方后续安全公告，升级到修复后的版本。

Socket

Active Supply Chain Attack Compromises @antv Packages on npm...

Active npm supply chain attack compromises @antv packages in a fast-moving malicious publish wave tied to Mini Shai-Hulud.

供应链攻击 | 今天abc看了啥🤔

#前端 #供应链攻击 #npm #安全 #新动态想必大家都看麻了x早用 pnpm 早超生，俩周以内的依赖更新不装（（Active Supply Chain Attack Compromises @antv Packages on npm：npm 上的 AntV 可视化库包被植入恶意代码，构成活跃的供应链攻击