文章总结： ReversingLabs报告显示恶意开源软件包激增73%，重点提及vm2沙箱逃逸漏洞、Lazarus供应链攻击及G_Wagon窃密恶意软件。此外，Clawdbot网关暴露引发安全风险，Panera与SoundCloud遭遇大规模数据泄露，微软紧急修复Office0day漏洞。建议厂商及时修补漏洞，开发者警惕恶意代码包与供应链风险。 综合评分： 65 文章分类： 供应链安全,数据泄露,漏洞预警,恶意软件,威胁情报

ReversingLabs发布《2026年软件供应链安全报告》，恶意开源软件包数量同比增加73%

SOC SOC

赛欧思安全研究实验室

2026年1月29日 09:31 河南

• 流行 vm2 NodeJS 库中发现关键沙箱逃逸漏洞

  vm2 Node.js 沙箱库中存在一个危及系统安全的漏洞（追踪编号 CVE-2026-22709），该漏洞允许攻击者突破沙箱限制，在底层主机系统上执行任意代码。鉴于该漏洞在易受攻击的 vm2 版本中极易被利用，建议用户尽快升级至最新版本。

  来源: BleepingComputer

• 数百个 Clawdbot 网关遭暴露，API 密钥和私密聊天受影响

  代码卫士 Clawdbot 作为一款迅猛发展的开源 AI 智能体网关，正面临日益严峻的安全隐患：目前已有超过 900 个未设身份验证的实例暴露在互联网上，且其代码存在多处漏洞，可能导致凭据被盗与远程代码执行后果。

  来源: 安全内参

• 帕内拉面包数据泄露事件：ShinyHunters 声称窃取 1400 万条记录

  ShinyHunters 黑客组织宣称已入侵美国知名烘焙咖啡连锁快餐品牌 Panera Bread（帕内拉）。该组织于2026年1月27日在其暗网泄露平台发布了相关信息。据称遭窃数据包含超过 1400 万条记录，压缩格式总容量达 760MB。

  来源: Daily Dark Web

• Lazarus 黑客组织在新一轮采访活动利用虚假字体传播恶意软件

  Lazarus 黑客组织通过虚假招聘和恶意 GitHub 代码库，利用 VSCode 任务自动化功能及伪装成字体文件的恶意软件，针对软件开发工程师发起 供应链攻击，部署 InvisibleFerretPython 后门以窃取加密货币和凭据。

  来源: CN-SEC 中文网

• G_Wagon NPM 包利用用户窃取浏览器凭证，采用混淆式有效载荷

  一种伪装成合法 npm UI 组件库的高级信息窃取恶意软件，正通过 ansi-universal-ui 包针对开发者发起攻击。该恶意软件内部代号为 “G_Wagon”，采用多阶段混淆技术，从受感染系统中窃取浏览器凭证、加密货币钱包、云认证密钥及消息传递令牌。

  来源: GBHackers

• 微软针对 Office 活跃 0day 漏洞发布紧急补丁

  微软已发布紧急带外安全更新，用于修复 Microsoft Office 中一个正被积极利用的 0day 漏洞(CVE-2026-21509)。该漏洞允许威胁行为者在诱骗用户打开恶意文件后，绕过 Office 内置的安全防护措施，此类文件通常通过网络钓鱼或社会工程手段传播。

  来源: eSecurity Planet

• SoundCloud 数据泄露事件影响 2980 万账户

  音频流媒体平台 SoundCloud 系统遭黑客入侵，超过 2980 万用户账户的个人信息与联系方式被盗。调查发现，勒索组织 ShinyHunters 是本次攻击的幕后黑手，该组织曾试图勒索 SoundCloud。

  来源: 黑客资讯

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《ReversingLabs发布《2026年软件供应链安全报告》，恶意开源软件包数量同比增加73%》