2026年5月25日，国家网络安全通报中心发布预警：npm平台遭代号“沙虫”的供应链攻击。攻击者攻陷官方维护者账户，批量发布300余个恶意软件包的600多个版本，影响echarts-for-react、@antv系列、TanStack等热门开源项目。恶意包在安装时自动执行代码，窃取GitHub Token、云密钥、SSH私钥等敏感信息，并利用窃得权限篡改其他包，实现蠕虫式传播。前端、AI及企业开发者为主要受害群体。通报中心建议立即隔离设备、排查依赖脚本、清理可疑文件、更换凭证并加强来源审核。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。