2026年6月18日国家安全部发布安全提示国家网络安全通报中心监测发现近期集中爆发多起供应链投毒攻击事件涉及开源软件仓库和商用工具两大核心供应链场景。就在同一天全球主流JavaScript包管理平台npm刚经历了一场波及300余个独立程序包、600余个恶意版本的“沙虫”攻击。这不是孤立事件而是一场正在系统性发生的数字战争。从OpenAI到微软从Red Hat到GitHub全球软件产业的核心节点正在被逐一攻破。当安全工具本身不再可信、当官方发布渠道无法保障安全、当数字签名可以被伪造——我们的软件开发与分发体系究竟还能依赖什么一、“上游污染、下游传导”一场针对信任体系的精准打击软件供应链是软件从组件获取、开发集成、版本分发直至交付终端用户使用的全流程链条。与直接攻击终端的传统网络攻击不同“供应链投毒”是一种典型的“上游污染、下游传导”模式。攻击者通过劫持开发者官方账号、篡改开源代码仓库源码、污染软件安装包与发布版本等方式将恶意程序植入各类软件中。这种攻击模式的可怕之处在于其乘数效应一个基础组件被污染依赖它的数以万计的软件都会受到波及风险沿着代码依赖链不断扩散。被“投毒”的组件可能偷偷连接攻击者服务器接收远程指令窃取文件、数据甚至将被控设备用于对外攻击或非法“挖矿”。而修复周期极其漫长——普通漏洞或许一个补丁就能解决但供应链投毒往往需要先查清上游组件问题再逐一推动下游软件更新、测试与重新发布。这不是“漏洞”这是系统性信任崩塌。二、AI时代的新型攻击范式当大模型成为攻击者的“武器库”如果说传统供应链攻击是“精准狙击”那么2026年的攻击已经是“饱和轰炸”。2025年底至2026年5月一个被称为TeamPCP的威胁组织在全球范围内发起了一场规模空前的软件供应链攻击行动。截至2026年5月底该攻击已确认涉及至少十余波攻击序列污染超过600个npm和PyPI软件包覆盖超过50万台设备和服务器窃取超过50万条各类凭证直接和间接经济损失超过10亿美元。这场攻击最令人震撼的不是规模而是手法。TeamPCP组织将攻击手段调整为大范围、批量投毒式的“沙暴”突袭通过批量污染开源仓库组件快速获取大量突破点集中收割凭证型信息资产。更关键的是该组织全面使用大模型编写恶意代码。证据显示TeamPCP以Claude 3.5 Sonnet搭配Claude Code CLI作为主力工具一键生成项目脚手架、启动脚本及后门植入代码辅以GPT-4o优化攻击逻辑、编写多层混淆免杀代码并借助GitHub Copilot补全代码片段。攻击者并未刻意清除AI生成痕迹全程由大模型承担代码工程实现工作。依托大模型该组织大幅降低了恶意代码的编写成本打造出可复用的供应链攻击模板。该组织仅8个月就完成了Chalk/Debug、Shai-Hulud、Megalodon、Mini Shai-Hulud多轮快速迭代每轮均叠加新技术与攻击思路工具进化周期从月度缩短至周、日级别。攻击还呈现出“投毒即服务”的特征。攻击爆发次日TeamPCP便在GitHub公开了蠕虫病毒的完整源码及使用说明。此后相关攻击持续发酵——5月18日代号“巨齿鲨”的自动攻击在6小时内对5561个GitHub项目发起5718次恶意代码植入。源码公开后黑产圈层纷纷效仿扩散部分第三方还利用本地开源代码模型对恶意程序进行二次变种改造。AI不仅降低了攻击门槛更将攻击节奏从“年”压缩到了“天”。三、攻击链条全解析从Trivy到OpenAI信任体系被逐个击穿TeamPCP的攻击不是一蹴而就而是一条精心设计的信任链攻击。第一环入侵安全工具。2026年3月攻击者入侵了开源漏洞扫描工具Trivy。安全工具本身被污染——这是整个攻击链条中最致命的环节。因为开发者默认信任安全工具的扫描结果一旦工具本身被植入后门整个开发流程的信任基础瞬间瓦解。第二环污染AI基础设施。3月24日AI核心组件LiteLLM遭遇大规模供应链投毒。LiteLLM是一个让开发者通过统一API调用OpenAI、Anthropic等多家模型的开源Python库-。攻击者利用此前从Trivy CI/CD流水线窃取的PyPI凭证上传了两个包含后门的版本。尽管恶意版本46分钟就被移除但鉴于其单日300万次、单月近亿次的下载量仍对下游数千个AI项目造成极大影响。第三环入侵科技巨头。5月11日TeamPCP通过广泛使用的TanStack npm套件发动供应链攻击成功入侵OpenAI员工装置。受波及的储存库包含ChatGPT Desktop等多产品的代码签署凭证迫使OpenAI全面轮换凭证。恶意程序系统性地窃取GitHub Token、AWS密钥与Kubernetes secrets等核心凭证波及范围更扩及Mistral AI与UiPath等多个项目。第四环劫持合法发布渠道。6月1日攻击者直接劫持了Red Hat官方npm命名空间植入31个恶意套件。这些套件是通过GitHub Actions OIDC token发布的证实CI/CD流程本身已遭攻陷。为求隐蔽恶意软件将数据外泄流量伪装成导向Anthropic API的请求完美混入企业正常网络记录中。从安全工具到AI框架从科技巨头到官方发布渠道——整个软件产业的信任链正在被系统性瓦解。四、国内信创与海外开源安全盲区的结构性差异在这场全球性的供应链危机中国内信创体系与海外开源生态面临着不同维度的安全挑战。海外开源生态的核心问题是依赖关系的不可控性。以npm攻击为例一个恶意包可以连锁影响成千上万的下游项目。攻击者通过批量污染开源仓库组件快速获取大量突破点。开源社区的“信任即默认”文化在2026年已经成为致命的攻击向量。而国内信创体系面临的是另一重困境。信创战略要求从国外开源主导的技术栈向国产自主可控迁移但国产基础软件在性能、生态、兼容性上仍存差距迁移路径不清、风险难控企业陷入“想搬不敢搬”的困境--。但信创体系也有其结构性的安全优势。站在2025至2026年的时间节点信创安全的主战场已经完成了一次位移前期拼的是国产化率下一程拼的是供应链韧性——开源依赖透明度、制品溯源能力、SBOM可产出性、漏洞响应时钟--。与海外生态“用信任换效率”不同信创体系从一开始就将“自主可控”作为核心诉求这意味着在代码审计、依赖管理和供应链追溯方面国内信创产品具备天然的合规与安全审视流程。在中间件这一关键环节国产替代正在加速推进。金蝶天燕等国内中间件厂商已在中电数据、中国能建、中国银联等多个国家级和行业级项目中实现规模化部署-。金蝶天燕的中间件产品在国家权威机构进行了多轮测试确保产品符合信创要求产品均内置国密能力支持实时安全防护-。中间件作为连接应用与基础设施的关键枢纽其安全等级直接决定了下游业务系统的整体安全水平。金蝶天燕中间件服务云经过与金蝶AI·苍穹平台的代码级融合实现了在信创技术栈之上的完美兼容在满足信创合规要求的同时进一步提升软件供应链的安全等级。然而信创不等于绝对安全。正如行业分析所指出的基于开源的技术路线并非绝对符合或不符合信创要求其安全可靠性取决于技术选型、管理流程、风险控制措施等多方面因素--。无论是海外开源还是国内信创都需要从根本上重构对“信任”的理解。五、最后一道防线零信任架构与安全审计的全面升级当“信任”本身成为攻击目标唯一的出路就是不再信任任何人。这正是零信任架构的核心逻辑用显式验证取代隐式信任-。CSA云安全联盟在其最新发布的《零信任构建弹性企业指南》中指出软件供应链现在是一个核心的韧性问题--。零信任原则不仅适用于用户、设备和网络访问同样适用于软件交付环节--。在2026年的安全实践中零信任架构需要向供应链纵深延伸。每一行代码、每一个依赖包、每一次构建和发布都需要经过持续验证-。这要求企业建立软件物料清单管理机制全面掌握系统中开源组件、第三方库及插件工具的来源、维护和漏洞情况。对长期无人维护、来源不清、版本过旧、权限过高的组件应及时替换或降权使用。更重要的是安全审计必须左移。代码审计智能体可以通过分析客户提供的安装包、软件成分信息或白盒代码定向挖掘中间件、框架及依赖中的隐蔽漏洞解决供应链安全隐患-。重点系统上线前应开展代码安全检测、依赖项扫描和恶意代码排查。中间件作为软件供应链中的关键枢纽其安全审计尤为重要。中间件配置缺陷是攻击者最常见的突破口之一-。在等保测评、密评、关基评估中中间件的安全审计是核心合规项-。金蝶天燕等国产中间件厂商通过内置国密能力、实时安全防护和代码级服务能力正在从基础设施层面为政企用户构建供应链安全的“免疫系统”-。但技术手段只是防线的一部分。从开发厂商到运营平台再到亿万终端用户软件供应链的安全离不开链条上的每一个主体。开发者要坚持从官方网站获取开源组件企业采购商业软件和外包开发时应在合同中明确安全检测、漏洞修复、组件来源、数据保护和应急响应责任。
)
