国家网络安全通报中心:近期集中爆发多起供应链投毒攻击事件 涉及两大核心供应链场景

近期多起供应链投毒攻击事件集中爆发

　　国家网络安全通报中心监测发现，近期集中爆发多起供应链投毒攻击事件，攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios，涉及开源软件仓库和商用工具两大核心供应链场景。其中，Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库，导致风险通过依赖链向终端用户进一步蔓延。

　　三起供应链投毒事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征，可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。

当前供应链安全威胁已常态化

　　当前，供应链安全事件已从偶发性风险演变为常态化、精准化的安全威胁，建议广大开发运维用户加强安全防范。

一是甄别安装来源渠道

　　仅从官方仓库、官方渠道下载安装包和工具，谨慎下载安装第三方镜像、网盘、论坛等不明来源资源。重要组件建议使用稳定版本，初次安装或者更新前应核对官方发布的校验信息，确保未被篡改。

二是加强开发环境管理

　　为不同项目搭建独立运行环境，避免将开发运维环境直接暴露在互联网，减少恶意代码获取系统权限、窃取信息或破坏文件的可能，不随意执行未知命令。

三是强化风险防范处置

　　关注供应链官方安全公告和权威部门发布的安全预警信息，及时采取安装补丁、升级版本、更新配置等方式消除危害影响。官方未发布漏洞补丁前，可按规范操作回退至历史稳定版本，并清理本地缓存文件，防止恶意程序驻留。