据 慢雾称,5 月 19-20 日,攻击者入侵了 npm 账号 atool,并在 22 分钟内自动发布了 637 个恶意版本,覆盖 317 个包。在 5 月 20 日北京时间 00:19 至 00:54 之间,攻击者上传了 durabletask 版本 1.4.1、1.4.2 和 1.4.3,假冒了微软的官方发布。

受影响的高频组件包括 npm 生态中的 AntV 和 Echarts-for-react,以及 Python 中的 durabletask。慢雾将 GitHub 令牌大规模泄漏和 Grafana Labs 勒索软件攻击与此次活动联系起来。攻击者可以窃取凭据、获取对内部仓库的未授权访问权限,通过 CI/CD 管道横向移动,并利用被攻破的 GitHub 令牌勒索组织。