中新经纬4月10日电 10日,微信号“国家网络安全通报中心”发布《近期多起供应链投毒事件安全风险分析》。
国家通报中心监测发现,近期集中爆发多起供应链投毒攻击事件,攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios,涉及开源软件仓库和商用工具两大核心供应链场景。
其中,Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库,导致风险通过依赖链向终端用户进一步蔓延。
三起供应链投毒事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征,可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。
国家网络安全通报中心称,攻击对象聚焦重点用户。开发运营人员往往拥有较高系统权限与密钥访问能力,使供应链投毒攻击具备较高潜在收益。
攻击路径隐蔽易于扩散。投毒攻击通过账号劫持、上游依赖污染或发布渠道篡改等方式实施,无需用户主动交互即可触发风险,并可向下游环境快速传播。
攻击危害呈现放大效应。单次投毒事件可进一步引发横向移动与二次投毒,使影响范围由开发者终端扩展至单位生产环境及核心业务系统。
攻击检测阻断难度较大。相关恶意代码普遍采用混淆、自清除及反调试等技术手段,部分攻击还结合隐蔽通信机制运行,显著增加安全检测与拦截阻断难度。
国家网络安全通报中心提醒,当前,供应链安全事件已从偶发性风险演变为常态化、精准化的安全威胁,建议广大开发运维用户加强安全防范。
一是甄别安装来源渠道。仅从官方仓库、官方渠道下载安装包和工具,谨慎下载安装第三方镜像、网盘、论坛等不明来源资源。重要组件建议使用稳定版本,初次安装或者更新前应核对官方发布的校验信息,确保未被篡改。
二是加强开发环境管理。为不同项目搭建独立运行环境,避免将开发运维环境直接暴露在互联网,减少恶意代码获取系统权限、窃取信息或破坏文件的可能,不随意执行未知命令。
三是强化风险防范处置。关注供应链官方安全公告和权威部门发布的安全预警信息,及时采取安装补丁、升级版本、更新配置等方式消除危害影响。官方未发布漏洞补丁前,可按规范操作回退至历史稳定版本,并清理本地缓存文件,防止恶意程序驻留。(中新经纬APP)
中新经纬5月26日电 (魏薇)这几天,对许多宜信投资者而言格外难熬。“5月24日下午收到客户经理(类固收产品良性退出)的通知,原本5月18日(到账)的收益没有拿到。”安徽合肥的投资者李玉(化名)对中新经纬表示。 24日 中新经纬5月27日电 周三,A股三大指数涨跌不一,沪指震荡调整,创业板指冲高回落。 Wind截图 截至午间收盘,沪指跌1.11%,深成指跌0.42%,创业板指涨0.7%。 盘面上,超硬材料、人形机器人、工业金属、金融科技、AI算 中新经纬5月26日电 “国资小新”微信号26日消息,5月25日,国务院国资委党委召开扩大会议暨党委理论学习中心组集体学习,进一步指导推动中央企业树牢和践行正确政绩观,标本兼治推进统计督察反馈问题整改,持续夯实统计数 中新经纬5月25日电 近日,中证中小投资者服务中心(以下简称“投服中心”)官方微信号披露了一则关于《韩某等人内幕交易“长安汽车”案》的案例。 案例显示,2023年11月26日,重庆长安汽车股份有限公司(简称“长安汽 。本文链接:多起供应链投毒事件爆发,国家网络安全通报中心最新提醒http://www.sushuapos.com/show-3-171995-0.html
声明:本网站为非营利性网站,本网页内容由互联网博主自发贡献,不代表本站观点,本站不承担任何法律责任。天上不会到馅饼,请大家谨防诈骗!若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
上一篇: 今年第二批625亿元国补资金已下达