文章总结： 国家安全部发文预警软件供应链投毒风险，指出攻击具有隐蔽性强、影响范围广、危害程度高等特征，可导致凭据窃取、远程代码执行等严重后果。墨菲安全提出建立感知-检测-阻断三层治理方案，建议企业建立资产台账、接入投毒情报、部署私有源安全网关，形成持续化治理能力。 综合评分： 85 文章分类： 供应链安全,漏洞预警,解决方案,安全运营,政策法规

国家安全部点名预警！软件供应链投毒治理指南来了

原创

墨菲安全 墨菲安全

墨菲安全

2026年6月18日 17:06 北京

在小说阅读器读本章

去阅读

写在前面

今天（6 月 18 日），国家安全部微信公众号发文提醒警惕软件“供应链投毒”，再次把软件供应链安全问题推到企业和公众面前。

文章中提到，国家网络安全通报中心监测发现，近期集中爆发多起供应链投毒攻击事件，涉及开源软件仓库和商用工具两大核心供应链场景。

而且相关“供应链投毒”事件呈现出攻击隐蔽性强、影响范围广、危害程度高、传播速度快等共性特征，可造成凭据窃取、远程代码执行、敏感数据泄露等严重后果。

国家安全部发文

这不是一次普通的安全提醒。

过去，很多企业把供应链投毒理解成“开发者不小心装了一个恶意包”、“某个开源组件出了问题”。

但从国家层面的连续预警来看，供应链投毒已经不只是研发侧的局部风险，而是可能从开发终端、代码仓库、制品库、CI/CD 流水线一路传导到生产系统、核心业务和下游客户的系统性风险。

它的本质是：攻击者不再只攻击你的系统，而是攻击你信任的软件来源、开发流程和交付链条。

一旦上游被污染，下游就会被动中招。

供应链投毒为什么值得企业现在就重视？

国家安全部文章中提到，软件供应链投毒是一种典型的“上游污染、下游传导”模式。攻击者通过劫持开发者官方账号、篡改开源代码仓库源码、污染软件安装包与发布版本等方式，将恶意程序植入软件中。随着软件发布和更新，这些恶意逻辑会被输送到大量终端和业务系统中。

对企业来说，这类风险最麻烦的地方，不在于“有没有恶意代码”这个判断本身，而在于它会同时击穿多条传统防线。

• 第一，传播范围难以控制。

  一个基础组件可能被数以万计的软件依赖。只要某个核心组件、插件或开发工具被污染，风险就会沿着依赖链向下游扩散。企业即便没有直接安装恶意包，也可能因为某个间接依赖、某次构建、某个供应商交付版本而受到影响。

• 第二，攻击对象直指高价值凭据。

  开发环境、构建平台、服务器里往往保存着 GitHub Token、npm Token、云服务密钥、SSH 私钥、数据库连接串、Kubernetes 凭据等敏感信息。供应链投毒一旦进入这些环境，攻击者拿到的不是单台机器的权限，而可能是进入企业内网和发布链路的“钥匙”。

• 第三，修复周期长、责任链条复杂。

  普通漏洞往往可以通过升级补丁解决；但投毒事件要先确认毒源、影响版本、传播路径，再排查哪些项目、镜像、制品、环境、终端曾经拉取或执行过相关组件，最后还要完成凭据轮换、环境清理和版本回滚。对大型企业来说，这不是一次简单的漏洞修复，而是一场供应链级别的应急响应。

这也是为什么，国家安全部在防护建议中特别强调了“守好入口关”、“管住依赖链”、“看紧运行端”、“厘清责任方”。

这些要求落到企业内部，最终指向的是同一件事：企业必须建立可持续的软件供应链风险感知、检测和阻断能力。

墨菲安全看到的现实：投毒已经从“偶发事件”变成“高频风险”

墨菲安全自 2022 年开始提供供应链投毒情报服务，是国内较早将投毒情报产品化、服务化的供应链安全厂商之一，已服务上百家互联网、金融、智能制造等行业头部客户。

在真实客户场景中，我们看到的变化非常明显：

• 过去企业更关注“有没有高危漏洞”；现在，越来越多安全团队开始问：“有没有投毒包正在被我们的研发、构建、制品或终端使用？”
• 过去企业主要担心生产环境被攻击；现在，攻击者已经把目标前移到开发者终端、代码仓库、CI/CD 流水线、插件生态和 AI 工具链。
• 过去企业以为中央仓库下架恶意包就够了；现在，很多投毒包从发布到被下架之间，已经完成下载、构建、执行、外联和凭据窃取。

对企业来说，真正关键的不是“官方最终有没有处理”，而是你能不能在自己的供应链里第一时间发现、定位并阻断。

根据墨菲安全研究院此前发布的《2025 年软件供应链投毒风险研究报告》，2025 年全年，墨菲安全识别到的投毒包总量突破 59,000 个，相比 2024 年增长超过 50%，日均新增投毒包超过 200 个。其中，NPM 仓库仍是投毒重灾区，占比超过 87%；与此同时，攻击目标正在从传统组件仓库向 IDE 插件、浏览器扩展、GitHub Action、AI 工具链等新型生态加速蔓延。

这组数据说明，投毒不是小概率黑天鹅，而是每天都在发生的灰犀牛。

更值得警惕的是攻击方式的演变：

攻击正在精准化。攻击者不再只是注册几个相似包名碰运气，而是会围绕目标企业的业务术语、内部系统、组织命名空间进行定向仿冒。

例如，2025 年报告中提到，攻击者曾针对 AXA、Airbnb 等企业内部包名进行深度定制化投毒，体现出投毒前的侦查能力。

传播正在蠕虫化。以 Shai-Hulud 为代表的蠕虫式投毒事件，利用开发者协作网络和发布权限进行自我复制，短时间内感染大量 NPM 包并波及 GitHub 仓库。

这类攻击的速度已经超出传统人工排查和事后响应的节奏。

危害正在直接化。投毒代码的目标越来越集中于可直接变现的高价值凭据，包括加密钱包私钥、云服务凭据、CI/CD Token、代码仓库 Token 等。

供应链投毒已经不只是“探测主机信息”，而是可以造成业务中断、凭据泄露、内网渗透乃至直接经济损失的核心风险。

过去一年，多起大规模投毒事件已经证明：没有情报，企业很难跑赢攻击者

从 2025 年到 2026 年，墨菲安全持续跟踪并公开预警多起投毒事件。

以下事件也说明，供应链投毒正在从单点恶意包，演进为批量化、蠕虫化、跨生态联动的攻击模式。

| | | | | | — | — | — | — | | 时间 | 事件 | 风险要点 | 参考链接 | | 2026年6月 | AI Agent 开发框架 Mastra 被投毒 | 攻击者通过在受影响组件的依赖链中引入恶意包实施攻击，当开发者环境或 CI/CD 流程安装了相关版本，恶意链路就会自动触发：一阶段样本负责下载并执行二阶段后门载荷，随后在本机建立持久化、回传主机信息，并等待远程控制指令下发。 | AI Agent 开发框架 Mastra 被投毒，周下载量超百万 | | 2026年5月 | AntV 生态组件 Mini Shai-Hulud npm 蠕虫式投毒 | 涉及多个常用前端可视化组件，风险可通过企业前端工程和构建流程向下游传导 | Mini Shai-Hulud｜微软 durabletask SDK 被投毒，下载量超百万 | | 2026年5月 | TanStack 等组件 Mini Shai-Hulud npm 蠕虫式投毒 | 蠕虫式传播手法继续扩散，影响前端与 AI/机器学习相关开发者、开源维护者及企业研发人员 | Mini Shai-Hulud 蠕虫式投毒继续扩散，TanStack、Mistral、Squawk 等生态受影响，周下载量超千万 | | 2026年3月 | Axios 组件供应链投毒事件 | 攻击者劫持维护者账号发布恶意版本，借助高下载量基础组件放大影响，可能导致远控、凭据窃取和内网横向移动 | NPM热门HTTP请求库 Axios 被投毒，攻击者植入后门 | | 2025年11月 | asyncapi 等组件 Shai-Hulud 蠕虫式投毒事件 | 数小时内多个 NPM 组件被相同方式投毒，恶意代码下载 TruffleHog 扫描本机凭据，波及大量 GitHub 仓库 | SHA1HULUD蠕虫再现：超300NPM包被投毒、 2万仓库信息被窃取 | | 2025年9月 | qix开发者账号泄漏导致NPM仓库超大规模投毒事件 | 受影响投毒组件被植入恶意的混淆代码 index.js 文件，该恶意代码会劫持浏览器钱包和网络请求，拦截 ETH、BTC、SOL、TRX 等加密货币交易，通过替换目标地址将资金转移至攻击者钱包 | qix开发者账号泄漏导致NPM仓库超大规模投毒 |

除了上述大规模事件，墨菲安全曾经还首发和披露多起针对国内企业与开发者生态的投毒攻击，包括：

• 2023 年 8 月，发现首起针对国内金融企业的开源组件投毒攻击事件；
• 2023 年 10 月，发现针对腾讯云 / 阿里云 / AWS 的 SDK 仿冒投毒攻击事件；
• 持续发现大量 NPM、浏览器插件、IDE 插件、AI 生态相关投毒样本。

这些事件共同指向一个结论：供应链投毒的应对窗口非常短，企业不能等“事件上新闻”以后再开始排查。

如果一个恶意包已经进入构建流程，安全团队晚一天知道，可能就意味着多一批制品被构建、多一批镜像被发布、多一批凭据需要轮换、多一批环境需要排查。

投毒治理的关键，不是多扫一次，而是形成“感知—检测—阻断”闭环

国家安全部文章提出的防护建议，落到企业实践中，可以拆成三个能力层次。

墨菲安全“供应链投毒治理”方案

第一层：感知

企业要知道外部正在发生什么。投毒情报需要覆盖 NPM、PyPI、Maven、GitHub 等传统开源仓库，也要覆盖 IDE 插件、浏览器扩展、AI 生态 MCP / Skills 等新型场景。

更重要的是，情报不能只是“包名和版本”，还应包括恶意行为描述、危害类型、IOC、样本特征、排查建议和处置上下文。

墨菲安全投毒情报预警服务支持 API 拉取、邮件 / IM 推送、平台查询等多种方式，结合静态分析、AI 分析和专家研判，帮助企业尽早感知正在发生的投毒风险。

第二层：检测

企业要知道自己有没有中招。企业需要把投毒情报与内部资产台账关联起来，快速回答几个问题：哪些代码仓库、项目、镜像、制品、主机、CI/CD 流水线使用了相关组件？是否命中风险版本？是否在风险窗口内执行过安装或构建？是否存在异常脚本、异常外联、异常进程或凭据泄露迹象？

墨菲安全软件成分分析能力支持 20+ 语言类型源代码 / 制品中的依赖成分识别，可对接代码仓库、CI/CD、命令行等场景，结合实时投毒情报进行一键排查，帮助企业从“知道有风险”进一步走到“知道我有没有风险”。

第三层：阻断

企业要能在风险进入内部之前卡住。绝大多数投毒行为通过发布新包、新版本或污染上游组件实现。如果企业所有研发和构建环境都可以直接拉取外部源，安全团队就很难在入口处拦截。

墨菲安全私有源安全网关可对接企业内部 Nexus、JFrog 等私有源，通过黑名单策略、下载审计、风险拦截和组件引入“冷静期”等机制，在依赖进入研发和构建链路前进行控制。特别是针对新发布组件和异常版本，冷静期机制可以为企业争取情报研判和风险暴露时间，避免刚发布的潜在投毒组件直接进入生产构建。

这三层能力结合起来，才能形成真正的投毒治理闭环。

投毒情报不应只给安全团队“看”，更要让系统“用”起来

在墨菲安全此前发布的《漏洞及投毒情报应用实践指南 2026 版》中，将漏洞与投毒情报的落地场景拆解为多个典型应用，包括资产监管排查、组件选型与准入、日常漏洞管理、修复优先级重构、漏洞与投毒事件应急响应、出海与标准合规支撑、AI 供应链漏洞与投毒治理，以及作为数据底座增强 SCA / WAF / EDR / SIEM 等安全工具链。

这背后的核心观点是：情报不能停留在“人看公告”的阶段，而要进入系统、流程和工具。

在投毒治理中，情报至少要服务四类动作：

研发引入组件前，判断这个组件能不能用；

构建拉取组件时，判断这个版本要不要拦；

事件爆发后，快速定位企业内部影响面；

应急处置中，给出可执行的排查脚本、IOC、版本范围和凭据轮换建议；

如果情报只能以文章、群消息、PDF 的形式存在，它对企业的帮助就会被响应链路拖慢。

真正有效的投毒情报，应该能被 SCA、私有源网关、CI/CD、SIEM、SOAR、终端安全平台直接消费，成为企业安全运营的一部分。

国家层面已经提醒，企业需要把供应链投毒纳入日常安全建设

供应链投毒不是某一次事件，也不是某一种语言生态的问题。

它已经覆盖 NPM、PyPI、Maven 等开源仓库，延伸到 GitHub Action、IDE 插件、浏览器扩展、AI Agent、MCP / Skills 等新型软件供应链场景。对企业来说，只要仍在使用开源组件、第三方工具、外部插件、AI 开发生态，就不可能完全绕开这类风险。

区别只在于：

有的企业在投毒进入前就能阻断；

有的企业在投毒进入后能快速定位和清理；

还有的企业，只能等业务异常、凭据泄露、客户追问或监管通报时，才开始回头查；

国家安全部这次预警，真正提醒企业的不是“某几个包有风险”，而是：软件供应链已经成为攻击者高频利用的入口，企业必须把它纳入持续化、体系化治理。

墨菲安全建议企业优先完成三件事：

1. 建立开源资产与插件资产台账：覆盖代码仓库、制品库、镜像、主机、CI/CD、IDE / 浏览器插件、AI 工具链；

2. 接入高时效投毒情报：不仅知道外部投毒事件，还能关联内部资产自动排查；

3. 在依赖入口建立阻断机制：通过私有源安全网关、组件准入、版本冷静期等方式，把风险挡在研发和构建链路之外；

当投毒攻击正在以日均数百个恶意包的速度出现，企业需要的不是又一次事后复盘，而是一套能真正跑起来的供应链投毒治理能力。

墨菲安全为企业免费提供供应链投毒风险排查交流

如果你的团队正在评估 npm、PyPI、Maven、GitHub、IDE/浏览器插件或 AI 生态相关供应链风险，

欢迎联系墨菲安全，预约一次系统性的供应链投毒风险排查交流。不要等恶意包进入构建流水线，才开始寻找它从哪里来。

扫码预约

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：墨菲安全 墨菲安全 墨菲安全《国家安全部点名预警！软件供应链投毒治理指南来了》