文章总结： 文章分享了一种基于供应链攻击的HackerOne赏金挖掘思路：通过检查目标代码仓库引用的依赖包在公网是否返回404，若不存在则可注册同名恶意包进行投毒。这是一种依赖混淆攻击手法，利用包管理器解析顺序设计缺陷。作者受此启发检查了公司内部仓库，发现没有混乱依赖。文章属于经验分享性质，技术细节较少，但提供了有价值的攻击思路。 综合评分： 55 文章分类： 供应链安全,实战经验,SRC活动,漏洞分析,安全运营

hackerone之有意思的供应链攻击

pippybear pippybear

安全无界

2026年2月9日 21:53 上海

无意间看到一老哥挖掘hackerone的思路，觉得还挺有意思的，于是记录一下，讲真，我要是没有看过的话，基本很少会从这个思路下手。

这个漏洞主要是基于供应链的攻击，想想之前也就红蓝对抗的时候才会颇有涉及，其实在挖掘赏金项目的时候，同样靠谱。

先看看大佬的挖掘描述，如下。

整体看下来思路其实很清晰，主要就是因为依赖解析顺序设计错误，一个一个盘repo中引用的package在公网上是否是空位（404），是的话就可能可以投毒，注册一个上自己的投毒程序。（这是大前提，但也不是404就存在哈，根据情况来，如果repo设置了强制私服等就不行，但整体也是一个思路）。

第一眼看到这个的时候，第一想法就是我司的repo是否也存在同样的问题，于是立马写了一个小脚本验证了一下，不过结果还是好的，不愧是我司的大佬，没有太多太混乱的依赖。

本文没有太多的技术细节哈，主要大佬的记录也都是文字描述，不过还好整体思路其实挺简单的，就是想不到。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear pippybear《hackerone之有意思的供应链攻击》