文章总结： 国家网络安全通报中心监测显示近期集中爆发多起供应链投毒攻击事件，涉及Apifox、LiteLLM和Axios等开源及商用工具。攻击具有隐蔽性强、影响广、危害高等特征，可导致凭据窃取、远程代码执行等风险。防护建议包括仅从官方渠道下载组件、加强开发环境隔离、及时关注安全公告并采取补丁升级等措施。 综合评分： 85 文章分类： 供应链安全,漏洞分析,威胁情报,安全意识,解决方案

国家网络安全通报中心：近期集中爆发多起供应链投毒攻击事件，涉及开源软件仓库和商用工具两大场景

内生安全联盟

2026年4月10日 15:42 江苏

据国家网络安全通报中心微信公众号消息，国家通报中心监测发现，近期集中爆发多起供应链投毒攻击事件，攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios，涉及开源软件仓库和商用工具两大核心供应链场景。

其中，Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库，导致风险通过依赖链向终端用户进一步蔓延。三起供应链投毒事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征，可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。

01

供应链投毒风险分析

一是攻击对象聚焦重点用户。开发运营人员往往拥有较高系统权限与密钥访问能力，使供应链投毒攻击具备较高潜在收益。

二是攻击路径隐蔽易于扩散。投毒攻击通过账号劫持、上游依赖污染或发布渠道篡改等方式实施，无需用户主动交互即可触发风险，并可向下游环境快速传播。

三是攻击危害呈现放大效应。单次投毒事件可进一步引发横向移动与二次投毒，使影响范围由开发者终端扩展至单位生产环境及核心业务系统。

四是攻击检测阻断难度较大。相关恶意代码普遍采用混淆、自清除及反调试等技术手段，部分攻击还结合隐蔽通信机制运行，显著增加安全检测与拦截阻断难度。

02

供应链安全防护建议

当前，供应链安全事件已从偶发性风险演变为常态化、精准化的安全威胁，建议广大开发运维用户加强安全防范。

一是甄别安装来源渠道。仅从官方仓库、官方渠道下载安装包和工具，谨慎下载安装第三方镜像、网盘、论坛等不明来源资源。重要组件建议使用稳定版本，初次安装或者更新前应核对官方发布的校验信息，确保未被篡改。

二是加强开发环境管理。为不同项目搭建独立运行环境，避免将开发运维环境直接暴露在互联网，减少恶意代码获取系统权限、窃取信息或破坏文件的可能，不随意执行未知命令。

三是强化风险防范处置。关注供应链官方安全公告和权威部门发布的安全预警信息，及时采取安装补丁、升级版本、更新配置等方式消除危害影响。官方未发布漏洞补丁前，可按规范操作回退至历史稳定版本，并清理本地缓存文件，防止恶意程序驻留。

来源：“国家网络安全通报中心”微信公众号

安测促发展，积聚创未来——2026网络通信安全融合生态创新发展大会在宁举行

征集标准参编单位！关于征集《消费级无人机检验检测通用要求》认证认可行业标准参编单位的通知

热点聚焦

HOT！！

邬江兴院士：AI内生安全问题及可信应用系统研究

征稿启事 | 16个热点问题，欢迎来稿！

新书出版 | 邬江兴院士发布最新英文著作

可信内生安全、变结构拟态计算技术等入选“新一代信息工程科技新质生产力技术备选清单（2024）”

持续赋能内生安全！第五届网络空间内生安全学术大会暨第八届“强网”拟态防御国际精英挑战赛完美收官

蓝皮书下载 | 第五届网络空间内生安全学术大会，四本蓝皮书重磅发布

正式发布！网络空间内生安全理论和标准体系入选信息通信领域十大科技进展（附手册）

递交2025网信生态高质量发展“开年答卷”  网络通信安全融合生态创新发展大会在宁举行

邬江兴院士为五色石先导班学生授课

邬江兴院士——AI时代内生安全自主知识体系建设的思考

出版啦！南京市网络空间内生安全协会5项团体标准在中国标准出版社正式出版

邬江兴院士 | 破击美欧网络弹性铁幕——基于自主知识技术体系的数字生态系统底层驱动范式变革

喜报！南京市网络空间内生安全协会获评为AAAA等级社会组织！

邬江兴院士提出“时空协同复杂度”理论——揭秘介观尺度智能涌现机理引领AI架构革新

南京市网络空间内生安全协会第二届会员大会暨换届选举大会圆满举行

| 往期回顾

AI4E如何重构数字生态系统网络发展范式？

资料下载 | 十五五规划建议全文及说明

邬江兴院士：人工智能内生安全质量检测中试平台

仅凭一份漏洞公告，Claude 4小时攻破全球最安全系统

李强签署国务院令 公布《国务院关于产业链供应链安全的规定》

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：内生安全联盟 《国家网络安全通报中心：近期集中爆发多起供应链投毒攻击事件，涉及开源软件仓库和商用工具两大场景》