软件供应链

《漏洞及投毒情报应用实践指南》发布 2025 年，明确存在恶意行为的开源包超过 5 万个；蠕虫化投毒事件能在 24 小时内波及上万仓库；NVD 中 30% 以上的影响范围标注存在错误或缺失，直接扫描修复只会把研发淹没在误报里；漏洞从公开披露到攻击者开始利用，窗口已从”天”压缩至”小时&#822…

写在前面 在企业安全治理中，有一个场景非常普遍：SCA 工具扫出来几十个漏洞，安全团队整理成工单派给研发，研发打开一看，一堆 CVE 编号和 CVSS 评分，完全看不懂，不知道该改哪里，更不知道改了会不会出问题。 于是就开始了漫长的来回沟通：安全要解释这个漏洞什么意思，研发要确认改完会不会影响线上，法务要判断许可证到底能不能用。一个本来 30 分钟能修好的问…

《开源安全治理最佳实践2026版》发布 2025年，新增开源漏洞42万+条，日均超过1,000个；59,000+个恶意投毒组件被识别，增幅超50%；53%的企业代码库存在许可证冲突；攻击者5天内开始扫描，企业修复却平均需要55天。 这组数据背后，反映的不是单一漏洞管理问题，而是一个更加系统性的现实：当开源成为软件底座，开源安全治理能力也必须成为企业安全建设的…

【高危】PyPI仓库 Anrk 组件内嵌木马 漏洞描述 当用户安装受影响版本的 Anrk 等Python组件包时会从攻击者的GitHub地址下载并执行恶意木马 Payload.exe，攻击者可窃取主机信息并进行远控。 MPS编号 MPS-06f8-lav5 处置建议 强烈建议修复 发现时间 2025-08-25 投毒仓库 pip 投毒类型 主机信息收集、后门…

【高危】NPM组件 typescript-4.8 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 typescript-4.8 等NPM组件包时会窃取主机的主机名、用户名、IP地址、/etc/passwd 文件等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-c0m5-bjdy 处置建议 强烈建议修复 发现时间 2025-08-24 投毒仓库…

【高危】NPM组件 @mz-codes/const 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @mz-codes/const 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vped-mlcb 处置建议 强烈建议修复 发现时间 2025-08-21 投毒仓库 npm 投毒类型 主机信息…

【高危】NPM组件 @2l/ewa-analytics-web-sdk 窃取主机信息 漏洞描述 当用户安装受影响版本的 @2l/ewa-analytics-web-sdk NPM组件包时会窃取用户主机的系统硬件、操作系统、浏览器类型、语言设置等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-4j08-mvqa 处置建议 强烈建议修复 发现时间 20…

【高危】NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @amiga-fwk-nodejs/log 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-l8r3-kn1o 处置建议 强烈建议修复 发现时间 2025-08-13 …

【高危】NPM组件 @prathvi2002/simple-npm-package 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @prathvi2002/simple-npm-package 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vb7e-f2y8 处置建议 强烈建议修复 …