O worm Mini Shai-Hulud sequestra 323 pacotes npm em menos de 30 minutos através de uma única conta roubada

Em 19 de maio, o worm Mini Shai-Hulud comprometeu uma conta de mantenedor do npm e distribuiu 639 versões maliciosas em 323 pacotes em menos de 30 minutos. A conta comprometida, “atool” ( [email protected] ), publica toda a pilha de visualização de dados @antv da Alibaba, juntamente com bibliotecas independentes usadas em painéis de criptomoedas, interfaces DeFi e aplicativos fintech. Os sites com maior tráfego são: size-sensor, com 4,2 milhões de downloads semanais; echarts-for-react, com 1,1 milhão; @antv/scale, com 2,2 milhões; e timeago.js, com 1,15 milhão. Projetos que usam intervalos de versionamento semântico como ^3.0.6 para echarts-for-react foram automaticamente...