资讯 业界 电商 移动 数码
国家网络安全通报中心:监测发现近期集中爆发多起供应链投毒攻击事件,涉及两大核心供应链场景
2026-04-10 17:34:46  |  中国新闻网  |  

据国家网络安全通报中心微信公众号消息,国家通报中心监测发现,近期集中爆发多起供应链投毒攻击事件,攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios,涉及开源软件仓库和商用工具两大核心供应链场景。其中,Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库,导致风险通过依赖链向终端用户进一步蔓延。三起供应链投毒事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征,可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。

一、供应链投毒风险分析

一是攻击对象聚焦重点用户。开发运营人员往往拥有较高系统权限与密钥访问能力,使供应链投毒攻击具备较高潜在收益。二是攻击路径隐蔽易于扩散。投毒攻击通过账号劫持、上游依赖污染或发布渠道篡改等方式实施,无需用户主动交互即可触发风险,并可向下游环境快速传播。三是攻击危害呈现放大效应。单次投毒事件可进一步引发横向移动与二次投毒,使影响范围由开发者终端扩展至单位生产环境及核心业务系统。四是攻击检测阻断难度较大。相关恶意代码普遍采用混淆、自清除及反调试等技术手段,部分攻击还结合隐蔽通信机制运行,显著增加安全检测与拦截阻断难度。

二、供应链安全防护建议

当前,供应链安全事件已从偶发性风险演变为常态化、精准化的安全威胁,建议广大开发运维用户加强安全防范。一是甄别安装来源渠道。仅从官方仓库、官方渠道下载安装包和工具,谨慎下载安装第三方镜像、网盘、论坛等不明来源资源。重要组件建议使用稳定版本,初次安装或者更新前应核对官方发布的校验信息,确保未被篡改。二是加强开发环境管理。为不同项目搭建独立运行环境,避免将开发运维环境直接暴露在互联网,减少恶意代码获取系统权限、窃取信息或破坏文件的可能,不随意执行未知命令。三是强化风险防范处置。关注供应链官方安全公告和权威部门发布的安全预警信息,及时采取安装补丁、升级版本、更新配置等方式消除危害影响。官方未发布漏洞补丁前,可按规范操作回退至历史稳定版本,并清理本地缓存文件,防止恶意程序驻留。中新网4月10日电 

本文共1页
相关【网络安全】新闻
国家网络安全通报中心:监测发现近期集中爆发多起供应链投毒攻击事件,涉及两大核心供应链场景
从不确定性到确定性,“动态安全+AI”成网络安全破题密码
应对不断升级的勒索攻击,网络安全玩家们有什么样的“巧囊妙计”?
应对不断升级的勒索攻击,网络安全玩家们有什么样的“巧囊妙计”?
构建韧性网络,打造数字化时代下的反勒索防线
面对勒索攻击,企业应该具备什么样的“反制”思维?
史上最长“双11” 进行时,黑产“薅羊毛”战争永不眠
遭遇勒索攻击?瑞数信息的“反勒索黑科技”了解一下!
AI对抗AI:如何应对自动化攻击新时代?
知己知彼百战不殆,如何筑牢网络安全的“钢铁长城”?
云上数据如何智能防护勒索攻击?这家企业给出一份满分答案
云上数据如何智能防护勒索攻击?这家企业给出一份满分答案
GenAI安全成关注焦点!专业Bot管理厂商瑞数信息获Gartner投资推荐
瑞数信息:2024攻防演练 四大趋势展望
AI时代,反欺诈技术迎来全新挑战和升级
反勒索,怎样才是真正有效的数据备份?
连续4年被写入政府工作报告,你看懂“数据安全”新风向了吗?
祝贺!瑞数信息荣获上海市网络安全产业创新大会三项大奖!
祝贺!瑞数信息荣获上海市网络安全产业创新大会三项大奖!
首版“国际版”中国网络安全全景图正式发布,瑞数信息强势入选!
首版“国际版”中国网络安全全景图正式发布,瑞数信息强势入选!
2024网络安全趋势前瞻展望——“双刃剑”效应带来全新冲击和挑战
多元防护 动态融合,WAAP如何成为新兴网络安全威胁“杀手锏”?
多元防护 动态融合,WAAP如何成为新兴网络安全威胁“杀手锏”?
数据安全代表厂商 防勒索+防爬虫领域代表厂商!瑞数信息连续入选国际权威机构报告
[下篇文章] 离开能量谈低蓝光都是耍流氓!TCL T7M Pro护眼+好画质一步到位!
[上篇文章] 护眼电视终极PK,海信E5系列为何未发先受阻!
关于我们 | 服务条款 | 广告联系 | 加盟合作 | 联系我们
IT在线 ITOL.com.cn IT在线.com版权所有
Copyright © 2015 All Rights Reserved.
服务热线:400-633-4033