文章总结： 2026年3月至4月期间，威胁攻击者利用AI自动化技术对GitHub开源仓库发起名为prt-scan的供应链攻击，通过恶意拉取请求利用pullrequesttarget工作流触发器漏洞，尝试超450次攻击并成功入侵至少两个NPM包。攻击虽存在技术缺陷且成功率低于10%，但凸显AI技术降低攻击门槛的风险。建议组织加强GitHub安全配置并关注相关入侵指标。 综合评分： 78 文章分类： 供应链安全,漏洞分析,AI安全,威胁情报,安全运营

GitHub 开源软件仓库遭 AI 自动化供应链攻击

Jai Vijayan Jai Vijayan

代码卫士

2026年4月7日 18:07 北京

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

一名威胁行动者疑似利用人工智能辅助的自动化手段，对 GitHub 上的开源软件仓库发起了数百次漏洞利用尝试。

云安全厂商 Wiz 分析了超过 450 次攻击尝试，其中成功的比例不到 10%，但攻击者确实成功入侵了至少两个 NPM 软件包。该活动最早由 Aikido Security 公司的研究员 Charlie Eriksen 于 4 月 2 日发现。不过，Wiz 随后调查显示，该攻击行动大约在三周前，即 3 月 11 日就已开始，并通过六个不同的 GitHub 账号分六波进行。研究人员认为这些账号均归属于同一个威胁攻击者。

第二起 AI 增强型供应链攻击行动

该攻击活动被 Wiz 命名为“prt-scan”，针对GitHub 上配置了 pull_request_target 工作流触发器的代码仓库发起攻击，是近几周内的第二次AI自动化攻击活动。此前在 2 月底还发生过一起名为 “hackerbot-claw” 的攻击行动，攻击者同样通过恶意拉取请求利用该功能，窃取 GitHub 令牌、密钥、环境变量以及云凭证。

“hackerbot-claw”攻击活动的持续时间较短，目标更具针对性，主要瞄准知名代码仓库。而根据Wiz公司的分析，“prt-scan”行动的规模则要大得多，威胁攻击者针对GitHub上的小型和大型项目发起了远超500次拉取请求，但成功率更低。

Wiz的研究人员在上周六发布的一份报告中写道：“大多数情况下，攻击针对的是小型个人爱好者项目，并且只暴露了工作流使用的临时GitHub凭证。总体而言，除了极少数例外，该行动并未让攻击者获得生产基础设施、云凭证或持久性API密钥的访问权限。”不过，Wiz提醒称，该攻击给企业带来的更广泛启示和警示是：AI增强型自动化技术已显著降低了攻击者发起大规模供应链攻击的门槛。技术能力不高的攻击者现在可以用过去所需的一小部分时间和精力，就对数百个目标发起新的攻击行动。开发者通过拉取请求向GitHub上的项目提交代码修改建议，项目维护者则可以对这些请求进行审查、讨论，并将其合并到主代码中。GitHub Actions中的 “pull_request_target” 触发器机制规定：每当有拉取请求（即使来自不可信的分支）被提交时，都会自动在主仓库中运行工作流。

由于该操作拥有完整的仓库权限，并且能够访问仓库中的密钥信息，攻击者可能利用恶意的拉取请求窃取 API 密钥或凭证。Wiz 指出，如果在处理不受信任的拉取请求时，不加任何限制地使用该触发器，就构成了一种众所周知且有据可查的错误配置。

存在缺陷的攻击链

在“prt-scan”攻击活动中，攻击者首先扫描使用 GitHub Actions 中 pull_request_target 触发器的仓库，然后复刻这些仓库，创建分支，将恶意代码隐藏在一次看似常规的更新中，进而诱骗项目自动运行该代码。Wiz 表示，攻击者借此获得访问权限，从而窃取敏感数据或传播恶意软件。

Wiz 的分析显示，该攻击活动始于 3 月 11 日，当时攻击者发起了 10 次恶意拉取请求，这一阶段似乎是测试期，一直持续到 3 月 16 日。随后，在中断了近两周后，攻击者以极快的速度重新开始提交恶意拉取请求，Wiz 认为这种速度表明其使用了 AI 辅助的自动化技术。从 4 月 2 日开始，攻击者在 26 小时内发起了约 475 次拉取请求，这些请求中包含用于窃取凭证的复杂恶意载荷。

不过有趣的是，Wiz 指出，尽管恶意载荷设计得颇为宏大，但实际的攻击实现却很粗糙，表明攻击者并未完全理解 GitHub 的权限模型。该安全厂商表示：“攻击者尝试了复杂的多阶段载荷，但其中充斥的技术手段在专家看来不合逻辑，在实践中几乎难以奏效。”

尽管攻击手法存在缺陷，Wiz 表示，10% 的成功率仍然导致了数十起入侵事件。研究人员还公布了“prt-scan”攻击活动的相关入侵指标（IoCs），并敦促各组织加强 GitHub 环境的安全配置，以防范此类攻击。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击，影响全球10%的云环境

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10：威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件，防御供应链攻击

PyPI恶意包利用依赖引入恶意行为，发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版：《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击：误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥，触发供应链攻击

原文链接

https://www.darkreading.com/application-security/ai-assisted-supply-chain-attack-targets-github

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Jai Vijayan Jai Vijayan《GitHub 开源软件仓库遭 AI 自动化供应链攻击》