4月10日,国家网络安全通报中心发布预警指出,近期频发多起开源供应链投毒攻击事件,涉及API工具Apifox、Python库LiteLLM及JavaScript库Axios,覆盖开源仓库与商用工具两大关键场景。其中Axios因被OpenClaw等AI生态广泛依赖,导致风险沿依赖链扩散至终端用户。此类攻击呈现隐蔽性强、影响面广、危害度高、传播迅速四大特征,可引发凭据窃取、远程代码执行及敏感数据泄露等严重后果。
供应链投毒风险分析
攻击者主要针对拥有高权限凭证的开发运营人员实施定向攻击,通过账号劫持或渠道篡改等隐蔽手段传播恶意代码。单次投毒可触发横向移动与二次感染,使风险从开发终端蔓延至生产系统及核心业务。此类攻击普遍采用代码混淆、自清除及反调试技术,显著提升安全检测与拦截难度。
供应链安全防护建议
建议开发运维人员严格甄别安装来源,仅通过官方渠道获取组件并核验校验信息;为不同项目搭建独立运行环境,避免开发环境暴露公网;及时关注权威安全预警,通过版本回滚、缓存清理等应急措施阻断攻击链,官方补丁发布后立即实施加固。
文章转自:IT之家