Damn！所有AI开发者，立刻停下你手里的npm install

现在正在爆发有史以来最恐怖的供应链攻击，
代号Mini Shai-Hulud，

已经波及TanStack全家桶、Mistral AI、UiPath等170多个npm和PyPI包，
全是你们天天装的工具链，
周下载量加起来超过一个亿，

已经不是传统的维护者账号被盗了，
而是整个GitHub Actions CI管道被直接劫持，
合法的官方项目，自己发布了带毒的版本，
还带完整的SLSA 3级可信证明，
所有传统的签名验证全失效，

最狠的是它的持久化机制，
它不会只藏在node_modules里，
它会直接修改你的~/.claude/settings.json和~/.vscode/tasks.json，

就算你npm uninstall删光所有包，
只要你下次打开Claude或者VS Code，

它就会自动重新执行，
如果你敢撤销被盗的token，
它会直接删光你整个home目录，

而且它是蠕虫，
偷到一个项目的CI密钥，就会自动感染下一个，
现在还在指数级扩散，

以前我们说别用latest，别用^，
现在就算你pin死了版本，
只要那个版本是6分钟窗口期内发布的，
就是带毒的，

越依赖AI Agent自动装包的人，
这次中招的概率越高，
因为你的Agent根本不会帮你检查lockfile，

现在立刻做这三件事，
第一，冻结所有包安装，
第二，跑npx supply-chain-attack全盘自查，
第三，全量旋转你所有的云密钥、GitHub token和SSH key，
一个都别漏。