据深信服(300454)科技消息,近两周,国内安全机构监测到三起影响广泛的开源供应链投毒事件,涉及AI工具、API协作平台及主流JavaScript库,凸显AI时代下企业供应链安全面临严峻挑战。
三起供应链投毒事件详情
监测发现的三起事件分别为:开源AI API网关LiteLLM在PyPI发布的特定版本被植入恶意代码,可静默窃取信息并横向移动;API协作平台Apifox公网SaaS版桌面客户端遭投毒,恶意代码能窃取凭证并远程执行命令;主流JavaScript库axios的两个npm版本被植入远程控制代码。这些事件表明,攻击者正利用开发者生态的信任链条,潜伏在开源组件、开发工具等环节发起攻击。
供应链攻击呈现新特点
当前供应链攻击已进入常态化、精准化新阶段。开发工具软件成为首选攻击入口,一旦被攻陷,攻击者可快速获取系统权限并渗透内网,破坏力远超常规攻击。同时,攻击呈现工具化与精准化趋势,攻击模式逐步向APT(高级持续性威胁)演进,常规安全防护手段难以有效抵御。
应急响应与防护建议
受影响企业和开发者需按最高级别启动应急响应,并采取以下措施:
1. 快速排查:检查网络侧是否出现对相关异常域名的访问;在终端侧排查指定的恶意文件痕迹。
2. 全域清除感染:升级或降级受影响组件至安全版本;封锁已知恶意域名;清除相关本地缓存与木马文件。
3. 凭证轮换:立即重置所有可能泄露的凭证,如SSH私钥、云服务AccessKey等。
4. 转向主动治理:企业需将供应链安全纳入体系化建设,从制度和技术两个维度重构安全防线。
构建主动安全防护体系
为应对系统性风险,需从被动修复转向主动治理:
* 制度层面:将安全管理融入研发流程,通过工具沙箱化、凭据动态轮换、供应链SBOM管理等举措,形成常态化治理体系。
* 技术层面:可采用主动运营、主动防御、主动隔离相结合的综合方案,例如通过安全托管服务实时监测预警,利用AI赋能的安全网关实时拦截新型威胁,并借助零信任沙箱构建可信研发环境,以系统性方案筑牢供应链安全防线。
