吉林
2026年4月10日,国家网络安全通报中心发布权威紧急预警:近期全国集中爆发多起供应链投毒攻击事件,并非零散个案,而是规模化、隐蔽化的精准袭击,直接盯上我们日常高频使用的正规软件、工具与开源组件,波及数百万个人用户、上万家企业,覆盖互联网、金融、政务、AI研发等多个领域,风险已传导至普通大众 。
一、官方实锤!3起高频工具投毒,全是日常常用款
这次国家通报点名的3起典型投毒案件,全是大家或身边人常用的工具,隐蔽性极强,不用点链接、不用下盗版,打开就可能中招。
1. Apifox工具投毒(3月4日—22日)
Apifox是国内主流API开发、接口调试工具,个人用户超百万、企业用户超十万,互联网公司、金融机构、政务系统都在用。
黑客直接劫持官方CDN域名,把正常JS脚本换成恶意代码,用户打开客户端就自动中毒,全程无提示。恶意代码潜伏18天,偷走SSH密钥、Git账号、云服务器密钥、数据库密码等“万能钥匙”,超20万开发者、1200余家企业直接感染,还通过APP、小程序传给超5000万普通用户。
2. LiteLLM开源库投毒(3月下旬)
LiteLLM是AI开发领域常用的Python开发库,大量AI应用、大模型开发都依赖它 。黑客通过污染开源软件仓库,上传带恶意代码的版本,开发者下载使用后,恶意代码会悄悄窃取AI模型权限、训练数据与核心代码,不少AI创业公司、科研机构因此中招。
3. Axios HTTP库投毒(近期)
Axios是前端开发、小程序、网页应用最常用的JavaScript HTTP库,几乎80%以上的网站、APP、小程序都在用 。因大量AI应用(如OpenClaw)直接依赖它,风险快速向下游传导,普通用户刷网页、用小程序、逛电商时,就可能被恶意代码窃取账号密码、支付信息、聊天记录等敏感数据 。
二、供应链投毒有多可怕?普通人也逃不掉
很多人觉得“供应链投毒是开发者、企业的事,跟我没关系”,大错特错!这类攻击有4个致命特点,直接威胁每个人 。
- 隐蔽性极强:不弹广告、不提示风险,通过官方正规渠道传播,打开软件、使用应用就自动触发,普通人和安全软件都难发现。
- 传播速度超快:像病毒一样扩散,一个开发者中招,其开发的APP、小程序会把风险传给所有用户;一家企业感染,合作方、客户系统也可能被波及 。
- 危害超级大:轻则盗走账号密码、支付信息、隐私照片,重则窃取企业核心数据、政务系统机密、金融账户资金,甚至远程控制设备、破坏系统 。
- 波及范围超广:从互联网大厂到小微企业,从程序员到普通上班族、学生、老人,只要用手机、电脑,用常用APP、小程序,都可能受影响。
三、赶紧自查!这5步立刻做,别等中招后悔
国家预警已发,现在立刻自查防护,别存侥幸心理,按步骤操作最稳妥。
1. 立即更新常用工具与软件
先查这3个:Apifox更新到2.8.19及以上版本,LiteLLM更新到官方最新安全版,Axios升级至1.7.4及以上版本。
其他常用软件(微信、QQ、支付宝、办公软件、浏览器、各类APP),全部打开设置,检查更新,安装最新版本,旧版本漏洞多,最易被利用。
2. 全面查杀恶意代码
电脑、手机都要做:电脑用360安全卫士、火绒安全等软件,进行全盘深度查杀;手机用自带安全中心或正规杀毒APP,扫描恶意应用与插件。
重点查:陌生进程、未知插件、自动启动的不明程序,发现立即删除、清理残留。
3. 修改所有敏感账号密码
投毒主要偷账号密码,不管有没有中招,都要改密码。
优先改:云服务器账号、Git代码库、数据库、支付软件、网银、社交账号、邮箱密码,密码设为“字母+数字+符号”组合,别用生日、手机号等简单密码,不同账号密码别重复。
4. 关闭自动加载、陌生权限
电脑:关闭软件开机自动启动,不用的后台程序及时关闭,不随意安装陌生插件、扩展程序。
手机:关闭APP自动更新、自动下载,不给陌生APP通讯录、相册、定位、支付权限,不点击陌生链接、不扫不明二维码。
5. 谨慎下载,只从官方渠道来
所有软件、工具、应用,只从官网、官方应用商店下载,坚决不用破解版、绿化版、第三方修改版。
开源组件、开发库,只从GitHub官方仓库、Gitee官方平台获取,下载后核对校验码,确认没被篡改再使用。
四、国家已出手!多重防护筑牢安全墙
面对集中爆发的供应链投毒,国家已快速行动,全方位筑牢安全防线 。
国家网络安全通报中心持续监测预警,及时发布风险提示,指导企业与个人排查处置 。市场监管、网信、公安等部门联合行动,严厉打击供应链投毒违法犯罪,追查黑客团伙,封堵攻击路径 。
同时,加快完善网络安全、供应链安全法律法规,强化软件开发商、开源平台、应用商店主体责任,要求严格安全审核、及时修复漏洞 。推动“互联网+安全监管”,用大数据、AI技术实时监测恶意代码,快速预警处置 。
五、日常牢记3点,远离供应链投毒风险
除了紧急自查,平时养成好习惯,才能长期远离风险。
- 不贪小便宜:不用免费破解版、盗版软件,不下载非官方资源,看似省钱,实则埋下安全隐患。
- 保持警惕心:陌生邮件附件、不明链接、非官方二维码,一律不点开、不扫描;陌生好友发的文件、软件,坚决不接收、不安装。
- 常更新常查杀:软件定期更新,设备定期杀毒,重要账号定期改密,安全防护别偷懒。
供应链安全无小事,这次集中爆发的投毒攻击,给所有人敲响警钟。不管是个人还是企业,都要重视网络安全,立刻自查、及时防护,别让黑客有机可乘,守护好自己的信息与财产安全。
话题讨论:你平时用软件会及时更新吗?有没有遇到过软件异常、账号被盗的情况?欢迎在评论区分享你的经历和防护技巧,提醒更多人注意安全!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
