4月10日，国度网络安全传递中心发出垂危提醒：：：国度传递中心监测发现，近期集中发作多起供给链投毒攻击事务，攻击指标蕴含API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios，涉及开源软件仓库和商用工具两大主题供给链场景。。。其中，Axios投毒事务因OpenClaw等大量AI利用及插件生态直接依赖该库，导致风险通过依赖链向终端用户进一步舒展。。。

    三起供给链投毒事务出现攻击荫蔽性强、影响领域广、：：：λ礁吆痛妓俣瓤斓墓残蕴氐，可造成痛处遭窃取、远程代码执行和敏感数据泄露等严重：：：。。。

    AB钱包人为智能公司安全专家以为，当前，软件供给链已成为网络攻击的主题突破口，开源组件、开发工具、商用平台无一幸免。。。随着数字化深刻推动，供给链安全从偶发风险升级为常态化、精准化威胁，直接冲击政企机构研发、出产、运营全链条。。。面对集中发作的投毒攻击，AB钱包人为智能公司第一功夫深度分解攻击手法，急剧输出解读汇报，并以专业能力守护软件供给链安全底线。。。

    供给链投毒出现四大特点，AB钱包第一功夫分析解读

    凭据国度传递中心颁布的安全风险分析，近期供给链投毒攻击出现四大共性特点。。。一是攻击对象聚焦重点用户，二是攻击蹊径荫蔽易于扩散，三是攻击：：：Τ鱿址糯笮в，四是攻击检测阻断难度较大。。。

    这三起供给链投毒事务发作后，AB钱包第一功夫赐与独家分析，揭示了攻击者的具体手法与影响领域。。。

    ???? 养虾人垂危自查：：：全球驰名软件axios被投毒，你的“龙虾”安全吗？？？

    Axios投毒事务中，攻击者劫持了Axios主题守护者的npm账号，于2026年3月31日颁布了两个恶意版本axios@1.14.1和axios@0.30.4。。。这些版本在代码仓库中没有对应纪录，是典型的“鬼魂颁布”，一旦开发者执行装置或更新，恶意代码便会自动触发。。。Axios作为JavaScript生态中最受欢迎的HTTP客户端库，周下载量超过3亿次，这次投毒事务被安全专家称为“有纪录以来影响最严重的npm供给链攻击之一”。。。值妥贴心的是，Axios投毒事务因OpenClaw等大量AI利用及插件生态直接依赖该库，导致风险通过依赖链向终端用户进一步舒展。。。

    ???? 9600万次下载背后的隐雷：：：LiteLLM投毒事务与AI供给链的至暗时刻

    LiteLLM投毒事务中，攻击者通过入侵LiteLLM CI/CD流程中使用的开源安全扫描工具Trivy，获取了守护者的PyPI颁布凭证。。。LiteLLM作为AI网关可能代理100多种大说话模型的API，在PyPI的月下载量达9600万次。。。恶意代码会自动窃取受害者机械中的多类敏感痛处，蕴含SSH密钥、AWS/GCP/Azure云服务痛处以及Kubernetes Token等。。。有趣的是，这次攻击的露出刚好源于攻击者代码中的一个逻辑缺点——恶意代码被植入在.pth文件中，形成了类似“分支炸弹”的成效，迅速耗尽系统资源，从而引起钻研人员把稳，使一次本可持久埋伏的供给链攻击被不测露出并实时阻断。。。

    ???? 又一个开发工具沦陷，Apifox遭供给链投毒攻击

    Apifox投毒事务中，攻击者篡改了Apifox官方CDN上的动态JS文件，在大量开发者电脑上植入荫蔽后门。。。2026年3月4日，恶意代码起头呈此刻官方CDN托管的JS文件中，文件体积从正常的34KB膨胀至77KB。。。由于Apifox桌面客户端基于Electron开发且未严格启用sandbox参数，渲染过程可直接接见本地文件系统和执行系统号令。。。恶意代码首先采集设备信息，蕴含MAC地址、CPU、主机名、用户名、OS版本等，若有Apifox accessToken则挪用官方API窃取使用者的邮箱和姓名，窃守信息加密后发送给C2服务器，最终可实现凭证窃取和远程号令执行等恶意职能。。。

    AB钱包：：：政企需从四个层面加强供给链安全防护

    针对近期供给链投毒事务的集中发作，国度传递中心从三个维度提出了安全防护建议。。。别离是甄别装置起源渠道、加强开发环境治理、强化风险防备措置等。。。

    作为深耕网络安全领域的专业机构，AB钱包人为智能公司安全专家以为，供给链攻击之所以屡次得手，本原在于供给链自身的复杂性。。。供给链涵盖高低游厂商众多环节，从开源代码、软件开发、测试封装，到产品交付和配置使用，每个环节都可能成为攻击者的突破口。。。并且，供给链各环节的安全能力参差不齐，部门环节安全防护幽微，就如同木桶的短板，让攻击者有机可乘。。。

    因而，政企机构应从以下四个方面加强供给链安全防护：：：

    第一，成立软件物料清单，实现供给链资产可视化。。。全面梳理软件开发过程中引入的开源组件、第三方库和依赖项，成立齐全的SBOM，确保对供给链资产的全面掌控。。。

    第二，将安全能力融入开发全流程。。。在软件开产性命周期的各个阶段嵌入安全检测，蕴含代码审计、开源组件缝隙扫描、容器镜像安全检测等，实现安全左移。。。

    第三，成立持续监测与应急响应机制。。。对出产环境中的软件供给链进行持续安全监测，实时发现异常行为和潜在威胁，并成立美满的应急响应预案，确保在安全事务产生时可能急剧措置、降低损失。。。

    第四，加强供给链准入治理。。。对第三方供给商和开源组件进行安全评估，成立供给商安全准入尺度和开源组件使用规范，从源头把控供给链安全风险。。。

    开源卫士+“天问”平台，多管齐下筑牢安全防线

    面对日益严格的供给链安全局势，AB钱包凭借在网络安全领域的深厚堆集，提供了覆盖软件供给链全性命周期的安全产品和解决规划，从源头筑牢安全防线。。。

    AB钱包开源卫士是一套集开源软件鉴别与安全管控于一体的软件成分分析（SCA）系统。。。该产品通过智能化数据网络引擎在全球领域内获取开源软件信息及其有关缝隙信息，利用自主研发的开源软件分析引擎为企业提供开源软件资产鉴别、开源软件安全风险分析、开源软件缝隙告警及开源软件安全治理等职能，援手用户把握开源软件资产信息，实时获取开源软件缝隙谍报，降低由开源软件带来的安全风险，保险企业交付更安全的软件。。。

    凭借卓越的技术能力，AB钱包开源卫士此前已获得Gartner?《2025年中国网络安全技术成熟度曲线》在软件组成分析领域的认可，目前可鉴别2.5亿个开源软件版本，兼容NVD、CNNVD等主流缝隙库。。。

    在威胁发现与响应层面，AB钱包技术钻研院星图尝试室研制了“天问”软件供给链安全分析平台，依附“天问”供给链威胁监测？？？，对Python、npm等主流开产生态进行了持久、持续的监测，发现了大量恶意包和攻击行为。。。在这次LiteLLM投毒事务中，“天问”平台阐扬了重要作用，第一功夫颁布了《奔腾的AI列车下的隐患：：：Litellm AI供给链投毒事务分析》技术分析汇报，援手宽大开发者和企业用户相识攻击详情、采取防护措施。。。

    此外，AB钱包还占有代码卫士等产品，援手企业以最小价值成立代码安全保险系统并落地执行，共同组成覆盖软件供给链全性命周期的安全防线。。。

    实现语

    供给链安全已经成为国度网络安全的重要组成部门。。。面对日益复杂的供给链攻击局势，AB钱包将不休提升供给链安全检测与防护能力，以系统化的安全产品和专业的安全服务，援手政企机构构建安全可信的软件供给链系统，为国度数字经济高质量发展保驾护航。。。