時間 2026-04-10
作者 智辰
閱讀 163次
據國家網絡安全通報中心消息,國家通報中心監測發現,近期集中爆發多起供應鏈投毒攻擊事件,攻擊目標包括API研發工具Apifox、Python開發庫LiteLLM以及JavaScript HTTP庫Axios,涉及開源軟件倉庫和商用工具兩大核心供應鏈場景。其中,Axios投毒事件因OpenClaw等大量AI應用及插件生態直接依賴該庫,導致風險通過依賴鏈向終端用戶進一步蔓延。三起供應鏈投毒事件呈現攻擊隱蔽性強、影響范圍廣、危害程度高和傳播速度快的共性特征,可造成憑據遭竊取、遠程代碼執行和敏感數據泄露等嚴重危害。
一、供應鏈投毒風險分析
一是攻擊對象聚焦重點用戶。開發運營人員往往擁有較高系統權限與密鑰訪問能力,使供應鏈投毒攻擊具備較高潛在收益。二是攻擊路徑隱蔽易于擴散。投毒攻擊通過賬號劫持、上游依賴污染或發布渠道篡改等方式實施,無需用戶主動交互即可觸發風險,并可向下游環境快速傳播。三是攻擊危害呈現放大效應。單次投毒事件可進一步引發橫向移動與二次投毒,使影響范圍由開發者終端擴展至單位生產環境及核心業務系統。四是攻擊檢測阻斷難度較大。相關惡意代碼普遍采用混淆、自清除及反調試等技術手段,部分攻擊還結合隱蔽通信機制運行,顯著增加安全檢測與攔截阻斷難度。
二、供應鏈安全防護建議
當前,供應鏈安全事件已從偶發性風險演變為常態化、精準化的安全威脅,建議廣大開發運維用戶加強安全防范。一是甄別安裝來源渠道。僅從官方倉庫、官方渠道下載安裝包和工具,謹慎下載安裝第三方鏡像、網盤、論壇等不明來源資源。重要組件建議使用穩定版本,初次安裝或者更新前應核對官方發布的校驗信息,確保未被篡改。二是加強開發環境管理。為不同項目搭建獨立運行環境,避免將開發運維環境直接暴露在互聯網,減少惡意代碼獲取系統權限、竊取信息或破壞文件的可能,不隨意執行未知命令。三是強化風險防范處置。關注供應鏈官方安全公告和權威部門發布的安全預警信息,及時采取安裝補丁、升級版本、更新配置等方式消除危害影響。官方未發布漏洞補丁前,可按規范操作回退至歷史穩定版本,并清理本地緩存文件,防止惡意程序駐留。
