AITOP
供应链攻击·general

供应链攻击

别名
首次出现
2026-05-22
最近出现
2026-06-11
累计提及
13
§ 01综述

供应链攻击已成为当前软件安全领域最严峻的威胁之一,攻击者通过污染开源组件、代码仓库或开发工具,向广泛依赖这些资源的应用植入恶意代码。近期多个事件显示,npm 生态和大型科技公司成为重灾区。

主要进展

  • npm 生态持续遭投毒:多个热门 npm 包被植入恶意代码,包括 node-ipc(窃取密码)、echarts-for-reactAntV 的依赖项,以及 Red Hat 旗下的 30 余个包被植入 Miasma 后门,旨在窃取密钥。(npm 热门包 node-ipc 被投毒,可窃取密码等敏感信息npm 遭供应链投毒攻击,影响 echarts-for-react、AntV 等热门项目Red Hat 超 30 个 npm 包被植入 Miasma,窃取密钥)
  • GitHub 仓库被入侵:微软 GitHub 上数十个开源项目遭攻陷,攻击者植入窃取密码的恶意程序。(微软 GitHub 数十个开源项目遭入侵,植入窃取密码恶意程序)
  • TanStack 攻击波及 OpenAI:攻击者通过渗透 TanStack 的 npm 供应链,影响了 macOS 版 ChatGPT,OpenAI 澄清用户数据未泄露,并要求用户强制更新。(开源库 TanStack 被黑波及 OpenAI,Mac 版 ChatGPT 需在 6 月 12 日前强制更新OpenAI 回应 TanStack 供应链攻击:用户数据未泄露,已隔离系统)
  • 主动防御兴起:Replit 联合 Socket 推出 Package Firewall,旨在实时拦截供应链攻击;同时,学术界报告 AI 模型的“跨模型一致幻觉”构成新威胁,可能被用于生成看似合理的恶意包。(Replit 联合 Socket 推出 Package Firewall,拦截供应链攻击前沿模型包幻觉率降至5%左右,但跨模型一致幻觉构成新威胁)

    • 当前焦点 / 未来观察点

    核心争议在于开源生态的信任模型:项目维护者权责不对等、依赖关系复杂、自动化发布流程缺乏审核,使得攻击者可低成本投毒。未来关注点包括:包管理器内置的签名与校验机制、基于行为分析的实时防火墙(如 Package Firewall)、以及如何利用 AI 检测而非生成恶意包。同时,大型企业(如 OpenAI)对第三方组件的响应速度,可能成为行业标杆。

    § 02相关报道09 条在档
    1. 01
      Replit 联合 Socket 推出 Package Firewall,拦截供应链攻击
      Amjad Masad
    2. 02
      微软 GitHub 数十个开源项目遭入侵,植入窃取密码恶意程序
      IT之家
    3. 03
      Red Hat 超 30 个 npm 包被植入 Miasma,窃取密钥
      IT之家
    4. 04
      npm 遭供应链投毒攻击,影响 echarts-for-react、AntV 等热门项目
      IT之家
    5. 05
      前沿模型包幻觉率降至5%左右,但跨模型一致幻觉构成新威胁
      arXiv: DeepSeek
    6. 06
      npm 热门包 node-ipc 被投毒,可窃取密码等敏感信息
      IT之家
    7. 07
      开源库 TanStack 被黑波及 OpenAI,Mac 版 ChatGPT 需在 6 月 12 日前强制更新
      IT之家
    8. 08
      OpenAI 回应 TanStack 供应链攻击:用户数据未泄露,已隔离系统
      IT之家
    9. 09
      OpenAI 回应 TanStack npm 供应链攻击
      OpenAI Blog
    § 03邻近话题

    本页综述由 AITOP 基于公开报道整理。原报道版权归各自来源所有。

    /topic/%E4%BE%9B%E5%BA%94%E9%93%BE%E6%94%BB%E5%87%BB