主流 JavaScript 软件包管理平台 npm 遭供应链投毒攻击

npm 遭「沙虫」供应链投毒攻击，攻击者攻陷官方维护者账户，批量投放恶意软件包，涉及 300 余个独立程序包的 600 余个恶意版本，影响 echarts-for-react、@antv 系列、TanStack 系列等多个热门项目。恶意代码会窃取 GitHub Token、云服务密钥等敏感信息，并具备蠕虫式自我复制与横向传播能力，可篡改二次发布开发者名下其他软件包。处置建议包括隔离风险设备、排查依赖文件、清理残留痕迹、更换敏感凭证及提升安全意识。