文章总结： 该文档发布2025年度软件供应链投毒风险研究报告，指出投毒包总量超5.9万个，攻击向IDE及AI工具链蔓延。攻击呈现定向精准狩猎、蠕虫式传播及窃取高价值凭据等趋势，造成重大资产损失。报告建议构建全流程检测阻断、强化终端管控及引入情报，为企业供应链安全治理提供参考。 综合评分： 75 文章分类： 供应链安全,威胁情报,安全建设,安全运营

【重磅发布】2025年度软件供应链投毒风险研究报告

白帽子章华鹏

2026年3月1日 13:44 北京

以下文章来源于墨菲安全 ，作者墨菲安全研究院

墨菲安全 .

帮助每一个开发者更安全的使用开源代码！

2月28日，墨菲安全研究院发布了《2025年度软件供应链投毒风险研究报告》，受到了很多朋友的关注，里面也有很多数据和内容非常值得深入去聊一聊。

因此，今天（3月1日）晚上19:30，我将和我们实验室的负责人欧阳强斌一起带来一场线上直播。

分享2025年整个投毒攻击的态势，以及背后的逻辑、跟 AI 时代的关系、对各行业的影响，还有企业怎么去应对。

如果你有什么想知道或者想听的，欢迎给我留言和私信，也欢迎大家预约一下直播。

以下是报告发布原文：

2025年，开源软件供应链投毒威胁持续升级，全年识别到的投毒包总量突破59,000个，相较2024年增幅超过50%，日均新增投毒包逾200个。

NPM仓库仍是投毒重灾区，占比超过87%；与此同时，攻击目标已从传统组件仓库向IDE插件、浏览器扩展、GitHub Action、AI工具链等新型生态加速蔓延。

从攻击行为来看，2025年呈现三大显著演变：

• 一是攻击手法从”广撒网”转向”定向精准狩猎”，攻击者对 AXA、Airbnb 等目标企业内部包名的深度定制化投毒，体现了投毒前的深入侦查分析；

• 二是以 Shai-Hulud 事件为代表的蠕虫式传播机制首次大规模出现，3 天内感染逾千个 NPM 包、波及 2 万余个 GitHub 仓库，彻底刷新了投毒事件的规模边界；

• 三是信息窃取的目标愈发集中于可直接变现的高价值凭据，包括加密钱包私钥、云服务凭据及 CI/CD 流水线 Token，Shai-Hulud 供应链攻击最终导致 Trust Wallet 逾 850 万美元加密资产被盗，充分揭示了投毒攻击的实际危害深度。

墨菲安全研究院通过对 2025 年全年投毒数据的系统梳理，深入分析六类主要攻击模式、重点行业分布与风险演变趋势，并结合企业实际面临的治理挑战，提出构建全流程自动化检测与阻断、强化研发终端安全管控、建立开源资产管理台账、引入外部投毒情报等系统性治理建议，整理出这份《2025年度软件供应链投毒风险研究报告》，并在今天正式发布，旨在为企业安全团队提供可操作的供应链安全治理参考。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子章华鹏 《【重磅发布】2025年度软件供应链投毒风险研究报告》