国家网络安全通报中心：近期集中爆发多起供应链投毒攻击事件，涉及两大核心供应链场景

6 小时前

国家网络安全通报中心监测发现，近期多起供应链投毒攻击事件集中爆发，攻击目标包括API研发工具Apifox、Python开发库LiteLLM及JavaScript HTTP库Axios，涉及开源软件仓库与商用工具两大核心场景。其中，Axios投毒事件因被大量AI应用及插件生态依赖，导致风险通过依赖链向终端用户蔓延。三起事件呈现攻击隐蔽性强、影响范围广、危害程度高、传播速度快等共性，可造成凭据窃取、远程代码执行及敏感数据泄露等严重后果。风险分析显示，攻击对象聚焦高权限的开发运营人员，路径隐蔽且易于扩散，危害呈现放大效应，检测阻断难度较大。建议开发运维用户加强安全防范：一是甄别安装来源，仅从官方渠道下载工具，谨慎使用第三方资源；二是加强开发环境管理，为不同项目搭建独立环境，避免直接暴露于互联网；三是强化风险防范处置，及时关注安全公告与预警信息，采取安装补丁、升级版本等措施消除危害。