1. 墨知首页
  2. 技术科普

近期投毒事件频发,关基行业如何降低供应链投毒风险?

技术科普
目录 隐藏
1 写在前面
2 投毒是关键信息基础设施面临的显著威胁
3 墨菲安全以领先的投毒情报能力预警风险
4 墨菲安全如何治理投毒风险?
5 预约投毒风险排查

写在前面

2026年5月25日,国家网络与信息安全信息通报中心、公安部网安局通报了近期全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”(Shai-Hulud)供应链投毒攻击事件,涉及 echarts-for-react、@antv、TanStack 等多个系列 NPM 组件。

图片

今年以来,随着蠕虫式投毒攻击手法的扩散,以NPM仓库组件为代表的供应链投毒攻击呈爆发趋势,企业面临很高的安全风险,供应链投毒攻击受到监管机构重视。

Shai-Hulud系列投毒事件始于2025年9月,通过大规模的蠕虫传播,3天内感染了上千个NPM开源组件,波及2万余个GitHub仓库,并造成超过850万美元损失,彻底刷新了投毒事件的规模边界。

在2025年墨菲安全检测到的投毒包接近6万个,相比2024年增长超过50%,整体呈现攻击精准化、蠕虫式传播、面向高价值凭据进行信息窃取的趋势。

在 NPM 和 PyPI 等解释性语言仓库以外,针对 CI 环节的 GitHub Action 投毒、针对开发者/用户终端的 IDE 插件、浏览器插件投毒,以及 AI Agent Skills 的投毒也成为新的攻击热点

投毒是关键信息基础设施面临的显著威胁

今年以来持续出现影响广泛的供应链投毒事件,2026 年 3 月NPM仓库Axios组件被投毒,其周下载量超过 8000 万,17.4万组件依赖axios,对NPM生态影响巨大,大量企业软件依赖了axios,一旦在被投毒的时间窗口内拉取组件参与构建则可能导致服务器被入侵。

供应链投毒对关键信息基础设施行业的影响,远大于一般互联网场景。

原因在于,金融、运营商、能源、政务、工业等行业往往承载行业承载支付清算、政务服务、公共通信、工业生产调度等关键业务,一旦恶意组件进入研发、构建或发布链路,风险就可能从单个开发终端迅速传导到业务系统和生产环境。

这样就会带来四个方面的风险

  1. 业务连续性受冲击:投毒可能导致系统异常、服务中断、版本回滚,进而影响交易处理、客户服务和生产调度;
  1. 凭据与密钥泄露:恶意依赖可能借助开发环境、制品库、CI/CD 流水线窃取账号、密钥和配置文件,绕过传统边界防护,成为攻击者渗透内网和横向扩散的跳板,一旦敏感密钥泄漏将造成长期、深远影响;
  1. 沿交付链系统性扩散:金融、政企等行业涉及众多供应商、集成商和外包团队,投毒事件很容易沿交付链条扩散,形成“一点失陷、多点受影响”的系统性风险;
  1. 合规问责风险:若进一步涉及敏感数据、接口凭据或生产配置泄露,可能引发合规问责风险。

墨菲安全以领先的投毒情报能力预警风险

墨菲安全自2022年开始提供供应链投毒情报服务,是国内最早提供投毒情报预警服务的供应链安全厂商,已服务上百家互联网、金融、智能制造等行业头部客户。

墨菲安全具备全球领先的供应链投毒情报预警能力,早在2023年曾发现多起针对国内企业的投毒攻击事件,典型事件包括

  1. 2023年8月发现首起针对国内金融企业的开源组件投毒攻击事件;
  1. 2023年10月针对腾讯云 / 阿里云 / AWS 的 SDK 仿冒投毒攻击事件;

针对shai-hulud系列投毒曾率先检测并向业界预警,包括:

  1. 2025年9月 Shai-Hulud 蠕虫式投毒事件;
  1. 2025年11月 asyncapi等组件Shai-Hulud 蠕虫式投毒事件;
  1. 2026年5月 Tanstack等组件Mini Shai-Hulud npm 蠕虫式投毒
  1. 2026年5月 Antv生态组件Mini Shai-Hulud npm 蠕虫式投毒

通过实时跟踪各类仓库,墨菲安全每天新增识别的投毒包逾 200 个,积累了超过10万投毒情报数据。

投毒情报范围不仅覆盖 NPM、PyPI、Maven、GitHub等传统开源仓库,同时覆盖 IDE/浏览器插件、AI生态MCP/Skills 等新型风险场景。

图片

墨菲安全如何治理投毒风险

墨菲安全提出,企业应围绕感知-检测-阻断”建立投毒治理闭环,并提供了相应的系统性解决方案。

该解决方案,主要通过投毒情报预警服务快速感知当前正在发生的投毒风险,基于私有源安全网关对内部制品库中的投毒组件进行阻断,基于软件成分分析工具可对项目中引入的投毒组件进行识别检测。

图片

1. 感知 – 投毒情报预警服务

  • 投毒情报预警覆盖各类开源组件、浏览器插件、IDE插件、AI生态MCP/skill等,提供API拉取、邮件/IM推送、平台查询等多种方式获取投毒情报
  • 提供分钟级预警能力,静态分析、AI分析、专家分析研判多级策略校准,保障情报时效性与质量;
  • 提供投毒组件标识、版本、行为描述、危害类型、IOC、特征样本等丰富数据字段,提升企业风险排查效率

    2. 检测 – 软件成分分析

    • 支持20+语言类型源代码/制品中的依赖成分识别,支持对接代码仓库、CI/CD集成、命令行调用等多种接入方式,情报库实时同步,可一键排查投毒组件引入情况。

    3. 阻断 – 私有源安全网关

    • 支持对接企业内部Nexus 和 JFrog等私有源,多种黑名单策略配置,对投毒组件进行下载审计和拦截;
    • 绝大部分投毒行为通过发布新版本实现,在网关中支持配置组件引入「冷静期」,通过增加组件引入时间窗口,防止新发布的潜在投毒风险组件直接引入生产环境。

      预约投毒风险排查

      如果你的团队正在评估 npm、PyPI、Maven、GitHub、IDE/浏览器插件或 AI 生态相关供应链风险,可扫码预约墨菲安全专家为您进行一次系统性的供应链投毒风险排查交流

      图片
      (0)
      上一篇 2024年3月25日 下午12:08
      下一篇 2023年8月9日 下午7:13

      相关推荐

      • 软件供应链攻击的演变史 前沿技术

        软件供应链攻击的演变史

        作者:Vishal Garg 软件供应链攻击在过去几年中迅速增加,包括SolarWinds和Log4Shell在内的一些备受瞩目的事件提高了人们对它们对网络安全构成的潜在风险的认识。 这些攻击引起了公共和私营部门的广泛关注,因此,美国总统于 2021 年 5 月 12 日发布了一项关于改善国家网络安全的行政命令,其中有一个部分专门致力于改善软件供应链安全。 …

        2023年9月7日
        0
      • SBOM清单是什么? 前沿技术

        SBOM清单是什么?

        引言 你是否知道你使用的软件都是由哪些组件构成的?你是否了解这些组件的来源、版本、许可证和安全状况?如果你是一个软件开发者或者供应链管理者,你是否能够追踪和管理你的软件产品中包含的所有组件?在当今的软件行业,这些问题都是非常重要和紧迫的。为了提高软件供应链的透明度和安全性,我们需要一种工具来帮助我们识别、记录和共享软件组件的相关信息。这就是SBOM清单。 S…

        2023年8月9日
        0
      • 如何通过SBOM(软件物料清单)实现安全治理 前沿技术

        如何通过SBOM(软件物料清单)实现安全治理

        前言 SBOM(软件物料清单)是近年来在软件供应链领域频繁提到的概念,Linux基金会在2021年Q3调研了全球412 家机构发现已经有82%的人熟悉SBOM、78%的组织预计在今年使用SBOM。本文将介绍SBOM基本概念、实现方式、应用场景,帮助读者通过SBOM更高效地实现安全治理目标。 什么是SBOM 根据NTIA(美国国家电信和信息化管理局)的定义,S…

        2023年8月9日
        0
      • 软件供应链安全与SCA有什么区别? 前沿技术

        软件供应链安全与SCA有什么区别?

        作者:Nurit Bielorai 随着个人和专业环境中对软件的依赖增加,软件供应链的安全性已成为一个关键问题。确保软件的安全性和质量对于防范数字攻击、数据泄露和其他网络威胁至关重要。在确保软件安全方面起着关键作用的两种实践是软件供应链安全和软件组合分析 (SCA)。 虽然这两种做法是相关的,但它们并不相同,了解它们之间的差异对于有效保护软件供应链非常重要。…

        2023年9月10日
        0
      • CSO 们关注的软件供应链安全十个关键问题 前沿技术

        CSO 们关注的软件供应链安全十个关键问题

        写在前面 自从和几个小伙伴一起创办墨菲安全以来,有一年半多的时间了,创业对于我来说,很有意思的一个地方,就是有机会可以和各行各业很多非常有意思的人一起交流,在这个交流的过程中能够不断的提升自己的认知,以我自己创业之前的经历来说,我接触的大多都是互联网和互联网安全这个圈子的人,而现在有很多机会去接触到更多行业的客户和合作伙伴,可以有机会去了解不同行业的业务、安…

        2023年8月9日
        0