据国度收罗安全通报中心，监测发现，人人主流JavaScript软件包料理平台npm遭“沙虫”（Shai-Hulud）供应链投毒报复。报复者攻陷了npm官方顾惜者账户，并在短时安分批量投放大都坏心软件包，触及300余个稀少设施包的600余个坏心版块，影响多个热点开源神气。当拓荒者装配坏心依赖包后，设施会自动在土产货主机、CI/CD活水线环境推论坏心代码，窃取GitHubToken、npmToken、云就业密钥、SSH私钥、Kubernetes笔据、数据库集中字符串等明锐信息。这次投毒报复具备极强蠕虫式自我复制与横向传播才调，报复者可诓骗窃取的npm发布权限改换和二次发布拓荒者名下的其他软件包，形成供应链风险捏续扩散、危害捏续升级。

一、影响范围

主要受影响神气包括echarts-for-react、@antv系列中枢库（@antv/g2、@antv/g6、@antv/x6等）、TanStack系列42个包、MistralAI相干PyPI包以及timeago.js等社区包。受影响对象主要包括前端拓荒者、东谈主工智能或机器学习拓荒者、开源神气顾惜者及企业研发东谈主员等。由于坏心软件具备蠕虫式传播才调，可自动再行发布受害者顾惜的其他包，2026世界杯官网入口导致分享拓荒环境的其他用户及依赖消灭顾惜者发布的其他软件包的用户也可能面对盘曲感染风险。

二、科罚提议

一是阻止风险竖立。若土产货竖立近期装配过相干受影响的npm依赖FIFA世界杯官方合作指定网站，提议暂停神气启动，并断开可疑竖立收罗集中，宝贵坏心代码不息外联。二是排查依赖文献。查验package.json、package-lock.json、pnpm-lock.yaml、yarn.lock及node_modules目次，核实是否存在卓越preinstall、postinstall等自动推论剧本。三是清算残留思绪。排查ClaudeCodehooks、VSCode任务成就等位置，查验是否存在router_runtime.js、setup.mjs等可疑文献，幸免坏心代码在卸载依赖后不息残留。四是更换明锐凭证。实时更新GitHubToken、npmToken、云就业密钥、SSH私钥、数据库密码等各种密钥与令牌，对关联账号推论“退出一都竖立”操作。五是莳植安全意志。装配npm第三方依赖前，应核验神气官方起首、近期发布记载和剧本推行，不盲目装配热点包，优先接收安全牢固的官方版块。