2025年,开源软件供应链投毒威胁持续升级,全年识别到的投毒包总量突破59,000个,相较2024年增幅超过50%,日均新增投毒包逾200个。
NPM仓库仍是投毒重灾区,占比超过87%;与此同时,攻击目标已从传统组件仓库向IDE插件、浏览器扩展、GitHub Action、AI工具链等新型生态加速蔓延。
从攻击行为来看,2025年呈现三大显著演变:
- 一是攻击手法从”广撒网”转向”定向精准狩猎”,攻击者对 AXA、Airbnb 等目标企业内部包名的深度定制化投毒,体现了投毒前的深入侦查分析;
- 二是以 Shai-Hulud 事件为代表的蠕虫式传播机制首次大规模出现,3 天内感染逾千个 NPM 包、波及 2 万余个 GitHub 仓库,彻底刷新了投毒事件的规模边界;
- 三是信息窃取的目标愈发集中于可直接变现的高价值凭据,包括加密钱包私钥、云服务凭据及 CI/CD 流水线 Token,Shai-Hulud 供应链攻击最终导致 Trust Wallet 逾 850 万美元加密资产被盗,充分揭示了投毒攻击的实际危害深度。
墨菲安全研究院通过对 2025 年全年投毒数据的系统梳理,深入分析六类主要攻击模式、重点行业分布与风险演变趋势,并结合企业实际面临的治理挑战,提出构建全流程自动化检测与阻断、强化研发终端安全管控、建立开源资产管理台账、引入外部投毒情报等系统性治理建议,整理出这份《2025年度软件供应链投毒风险研究报告》,并在今天正式发布,旨在为企业安全团队提供可操作的供应链安全治理参考。
