国家网络安全通报中心4月10日发布预警，近期集中爆发多起供应链投毒攻击事件。攻击涉及开源软件仓库和商用工具两大核心供应链场景，影响范围覆盖全球开发者群体。

此次攻击的目标包括API研发工具Apifox、Python开发库LiteLLM以及Java HTTP库Axios。其中Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库，导致风险通过依赖链向终端用户进一步蔓延。

三起供应链投毒事件呈现出四个共性特征：攻击隐蔽性强、影响范围广、危害程度高和传播速度快。这些攻击可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。

国家网络安全通报中心分析认为，供应链投毒攻击的风险主要体现在四个方面。一是攻击对象聚焦重点用户，开发运营人员往往拥有较高系统权限与密钥访问能力，使攻击具备较高潜在收益。二是攻击路径隐蔽易于扩散，通过账号劫持、上游依赖污染或发布渠道篡改等方式实施，无需用户主动交互即可触发风险，并可向下游环境快速传播。三是攻击危害呈现放大效应，单次投毒事件可进一步引发横向移动与二次投毒，使影响范围由开发者终端扩展至单位生产环境及核心业务系统。四是攻击检测阻断难度较大，相关恶意代码普遍采用混淆、自清除及反调试等技术手段，部分攻击还结合隐蔽通信机制运行。

当前，供应链安全事件已从偶发性风险演变为常态化、精准化的安全威胁。

国家网络安全通报中心建议广大开发运维用户加强安全防范。一是甄别安装来源渠道，仅从官方仓库、官方渠道下载安装包和工具，谨慎下载安装第三方镜像、网盘、论坛等不明来源资源，重要组件建议使用稳定版本，初次安装或者更新前应核对官方发布的校验信息，确保未被篡改。二是加强开发环境管理，为不同项目搭建独立运行环境，避免将开发运维环境直接暴露在互联网，减少恶意代码获取系统权限、窃取信息或破坏文件的可能，不随意执行未知命令。三是强化风险防范处置，关注供应链官方安全公告，及时升级补丁、修复漏洞，定期对开发环境进行安全检测，发现异常及时处置。

市场有风险，投资需谨慎。本文为AI基于第三方数据生成，仅供参考，不构成个人投资建议。

来源：市场资讯