028-85565710
028-85565710
時間 2026-04-10
作者 智辰
閱讀 32次
據(jù)國家網(wǎng)絡(luò)安全通報中心消息,國家通報中心監(jiān)測發(fā)現(xiàn),近期集中爆發(fā)多起供應(yīng)鏈投毒攻擊事件,攻擊目標包括API研發(fā)工具Apifox、Python開發(fā)庫LiteLLM以及JavaScript HTTP庫Axios,涉及開源軟件倉庫和商用工具兩大核心供應(yīng)鏈場景。其中,Axios投毒事件因OpenClaw等大量AI應(yīng)用及插件生態(tài)直接依賴該庫,導(dǎo)致風(fēng)險通過依賴鏈向終端用戶進一步蔓延。三起供應(yīng)鏈投毒事件呈現(xiàn)攻擊隱蔽性強、影響范圍廣、危害程度高和傳播速度快的共性特征,可造成憑據(jù)遭竊取、遠程代碼執(zhí)行和敏感數(shù)據(jù)泄露等嚴重危害。
一、供應(yīng)鏈投毒風(fēng)險分析
一是攻擊對象聚焦重點用戶。開發(fā)運營人員往往擁有較高系統(tǒng)權(quán)限與密鑰訪問能力,使供應(yīng)鏈投毒攻擊具備較高潛在收益。二是攻擊路徑隱蔽易于擴散。投毒攻擊通過賬號劫持、上游依賴污染或發(fā)布渠道篡改等方式實施,無需用戶主動交互即可觸發(fā)風(fēng)險,并可向下游環(huán)境快速傳播。三是攻擊危害呈現(xiàn)放大效應(yīng)。單次投毒事件可進一步引發(fā)橫向移動與二次投毒,使影響范圍由開發(fā)者終端擴展至單位生產(chǎn)環(huán)境及核心業(yè)務(wù)系統(tǒng)。四是攻擊檢測阻斷難度較大。相關(guān)惡意代碼普遍采用混淆、自清除及反調(diào)試等技術(shù)手段,部分攻擊還結(jié)合隱蔽通信機制運行,顯著增加安全檢測與攔截阻斷難度。
二、供應(yīng)鏈安全防護建議
當(dāng)前,供應(yīng)鏈安全事件已從偶發(fā)性風(fēng)險演變?yōu)槌B(tài)化、精準化的安全威脅,建議廣大開發(fā)運維用戶加強安全防范。一是甄別安裝來源渠道。僅從官方倉庫、官方渠道下載安裝包和工具,謹慎下載安裝第三方鏡像、網(wǎng)盤、論壇等不明來源資源。重要組件建議使用穩(wěn)定版本,初次安裝或者更新前應(yīng)核對官方發(fā)布的校驗信息,確保未被篡改。二是加強開發(fā)環(huán)境管理。為不同項目搭建獨立運行環(huán)境,避免將開發(fā)運維環(huán)境直接暴露在互聯(lián)網(wǎng),減少惡意代碼獲取系統(tǒng)權(quán)限、竊取信息或破壞文件的可能,不隨意執(zhí)行未知命令。三是強化風(fēng)險防范處置。關(guān)注供應(yīng)鏈官方安全公告和權(quán)威部門發(fā)布的安全預(yù)警信息,及時采取安裝補丁、升級版本、更新配置等方式消除危害影響。官方未發(fā)布漏洞補丁前,可按規(guī)范操作回退至歷史穩(wěn)定版本,并清理本地緩存文件,防止惡意程序駐留。
