Eine aktuelle Warnung des Krypto-Influencers @mubeitech hat ein erhebliches Sicherheitsproblem mit einem Open-Source-Grundpaket hervorgehoben, das wöchentlich 1,1 Millionen Mal heruntergeladen wurde. Laut PANews wurde das Paket als bekanntes Malware eingestuft, was dazu führte, dass sein Sicherheitsbewertung für die Lieferkette auf null gesunken ist. Die Malware mit dem Namen 'Mini Shai-Hulud' hat kürzlich zu weitreichenden Infektionen in Open-Source-Code-Repositories geführt.

Die Liste der betroffenen Komponenten umfasst hochfrequente Tools wie Alibabas Datenvisualisierungssuite, AntV, bei der Hunderte von Paketen Berichten zufolge mit schädlichem Code infiziert wurden. Auch andere gängige Front-End-Tools wie echarts-for-react und timeago.js sind kompromittiert worden. Besonders erwähnenswert ist, dass echarts-for-react allein wöchentlich 1,1 Millionen Installationen verzeichnet.

Der Vorfall stammt von der Kompromittierung eines regulären Entwicklerkontos mit dem Benutzernamen 'atool', dessen Berechtigungen gestohlen wurden.