中新網(wǎng)4月10日電 據(jù)國(guó)家網(wǎng)絡(luò)安全通報(bào)中心微信公眾號(hào)消息，國(guó)家通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，近期集中爆發(fā)多起供應(yīng)鏈投毒攻擊事件，攻擊目標(biāo)包括API研發(fā)工具Apifox、Python開(kāi)發(fā)庫(kù)LiteLLM以及JavaScript HTTP庫(kù)Axios，涉及開(kāi)源軟件倉(cāng)庫(kù)和商用工具兩大核心供應(yīng)鏈場(chǎng)景。其中，Axios投毒事件因OpenClaw等大量AI應(yīng)用及插件生態(tài)直接依賴(lài)該庫(kù)，導(dǎo)致風(fēng)險(xiǎn)通過(guò)依賴(lài)鏈向終端用戶(hù)進(jìn)一步蔓延。三起供應(yīng)鏈投毒事件呈現(xiàn)攻擊隱蔽性強(qiáng)、影響范圍廣、危害程度高和傳播速度快的共性特征，可造成憑據(jù)遭竊取、遠(yuǎn)程代碼執(zhí)行和敏感數(shù)據(jù)泄露等嚴(yán)重危害。

一、供應(yīng)鏈投毒風(fēng)險(xiǎn)分析

　　一是攻擊對(duì)象聚焦重點(diǎn)用戶(hù)。開(kāi)發(fā)運(yùn)營(yíng)人員往往擁有較高系統(tǒng)權(quán)限與密鑰訪(fǎng)問(wèn)能力，使供應(yīng)鏈投毒攻擊具備較高潛在收益。二是攻擊路徑隱蔽易于擴(kuò)散。投毒攻擊通過(guò)賬號(hào)劫持、上游依賴(lài)污染或發(fā)布渠道篡改等方式實(shí)施，無(wú)需用戶(hù)主動(dòng)交互即可觸發(fā)風(fēng)險(xiǎn)，并可向下游環(huán)境快速傳播。三是攻擊危害呈現(xiàn)放大效應(yīng)。單次投毒事件可進(jìn)一步引發(fā)橫向移動(dòng)與二次投毒，使影響范圍由開(kāi)發(fā)者終端擴(kuò)展至單位生產(chǎn)環(huán)境及核心業(yè)務(wù)系統(tǒng)。四是攻擊檢測(cè)阻斷難度較大。相關(guān)惡意代碼普遍采用混淆、自清除及反調(diào)試等技術(shù)手段，部分攻擊還結(jié)合隱蔽通信機(jī)制運(yùn)行，顯著增加安全檢測(cè)與攔截阻斷難度。

二、供應(yīng)鏈安全防護(hù)建議

　　當(dāng)前，供應(yīng)鏈安全事件已從偶發(fā)性風(fēng)險(xiǎn)演變?yōu)槌B(tài)化、精準(zhǔn)化的安全威脅，建議廣大開(kāi)發(fā)運(yùn)維用戶(hù)加強(qiáng)安全防范。一是甄別安裝來(lái)源渠道。僅從官方倉(cāng)庫(kù)、官方渠道下載安裝包和工具，謹(jǐn)慎下載安裝第三方鏡像、網(wǎng)盤(pán)、論壇等不明來(lái)源資源。重要組件建議使用穩(wěn)定版本，初次安裝或者更新前應(yīng)核對(duì)官方發(fā)布的校驗(yàn)信息，確保未被篡改。二是加強(qiáng)開(kāi)發(fā)環(huán)境管理。為不同項(xiàng)目搭建獨(dú)立運(yùn)行環(huán)境，避免將開(kāi)發(fā)運(yùn)維環(huán)境直接暴露在互聯(lián)網(wǎng)，減少惡意代碼獲取系統(tǒng)權(quán)限、竊取信息或破壞文件的可能，不隨意執(zhí)行未知命令。三是強(qiáng)化風(fēng)險(xiǎn)防范處置。關(guān)注供應(yīng)鏈官方安全公告和權(quán)威部門(mén)發(fā)布的安全預(yù)警信息，及時(shí)采取安裝補(bǔ)丁、升級(jí)版本、更新配置等方式消除危害影響。官方未發(fā)布漏洞補(bǔ)丁前，可按規(guī)范操作回退至歷史穩(wěn)定版本，并清理本地緩存文件，防止惡意程序駐留。