緊急預警！通報：供應鏈投毒集中爆發，抓緊自查防護，別大意

緊急預警！

2026年4月19日，網絡安全緊急通報！

最近幾天，全球網絡安全領域接連拉響警報——一波又一波供應鏈投毒攻擊正在集中爆發，影響范圍之廣、危害程度之深，堪稱近年罕見。從最熱門的代碼庫到常見的開發工具，黑客正以“投毒”方式潛入千萬級系統，竊取數據、遠程控制、勒索錢財。

更可怕的是，這些攻擊極為隱蔽。你可能什么都不知情，甚至什么都沒做錯，你的電腦、手機、智能設備就已經被人盯上了。今天，我們緊急梳理近期發生的幾起重大事件，并給出切實可行的防護措施，請您務必重視！

一、近期發生了什么？三起重大事件，個個觸目驚心

事件一：Axios NPM庫遭“投毒”——百萬人下載量的核心工具被黑

3月31日，全球最受歡迎的JavaScript HTTP客戶端庫Axios被黑客攻陷。攻擊者黑掉了Axios主要維護者的NPM賬號，發布了兩個惡意版本，并向其中植入了一個名為“plain-crypto-js”的偽裝依賴包。受害者一旦安裝這些惡意版本，惡意代碼就會自動執行，下載一個跨平臺遠程訪問木馬（RAT），攻擊者可以遠程操控你的電腦——查看文件、記錄按鍵、竊取密碼、拍攝截圖。Axios每周下載量超過1億次，存在于大約80%的云環境和代碼環境中。被黑的兩個惡意版本在短短3小時內被下載了約3%，這意味著可能有數百萬個系統受到影響。

Google將此事件歸因于朝鮮背景的黑客組織UNC1069，將其定性為以金融獲利為目的的有組織攻擊。

事件二：OpenClaw偽裝部署工具——超300個木馬化套件滿天飛

與此同時，一波由AI輔助操作的供應鏈攻擊，正以GitHub上的“OpenClaw”部署工具為誘餌，吸引開發者和普通用戶下載惡意項目與套件。黑客通過偽造的開發工具、游戲外掛腳本、手機追蹤工具、幣圈機器人等名目，在GitHub上散布超過300個木馬化套件。這些惡意套件內含LuaJIT木馬，一旦運行，就會截取你的屏幕、定位你的位置、竊取你的敏感數據。Netskope安全團隊已將此事通報GitHub，但部分惡意存儲庫至今仍可訪問。

事件三：jsonspack惡意包集群——27個npm包暗中布網

3月18日至31日，一個代號為“jsonspack”的供應鏈攻擊行動，通過8個不同郵箱賬號發布了27個已確認的惡意npm包，累計被下載3,739次。這些惡意包偽裝成合法的開發工具和測試工具，在你安裝后悄悄激活木馬和竊密程序。

更值得警惕的是：在此之前，攻擊者還在3月19日至27日之間，接連攻陷了四個廣泛使用的開源項目：Trivy漏洞掃描器、KICS基礎設施掃描器、PyPI上的LiteLLM AI代理庫等。攻擊節奏密集，覆蓋面廣，絕非偶發事件。

典型案例回顧：Log4j漏洞至今余波未平

講起供應鏈安全，不得不提當年的Log4j漏洞（CVE-2021-44228）。這個漏洞允許攻擊者通過構造惡意日志信息，實現遠程代碼執行，幾乎影響全球所有Java應用。雖已過去多年，但Log4j相關漏洞仍在2026年被陸續披露（如CVE-2026-34478、CVE-2026-34480）。舊傷未愈，新傷又來，軟件供應鏈的脆弱性從未真正解決。

二、攻擊規模有多大？波及人群有多廣？

數字會說話：

• Axios每周下載量超1億次，惡意版本在3小時內被下載了約3%，理論上意味著數百萬系統可能中招。
• 惡意包“ambar-src”發布僅數日，下載量就達到了50,000次。
• 87%的組織至少有一個可被利用的漏洞在生產環境中運行，Java服務以59%的漏洞占比“領跑”所有技術棧。
• 現代Java項目平均71%的代碼來自開源依賴，而這些依賴的中位落后天數高達492天。
• 1.6%的npm用戶在過去一年中至少使用過一個惡意依賴。這意味著每100個npm用戶里，就有1到2個人曾經踩過雷。

這次集中爆發的投毒攻擊，不僅瞄準程序員，還瞄準普通用戶。

只要你從GitHub上下載過工具、游戲插件、腳本，或者在開發環境中用過npm，都可能成為目標。攻擊者的手法正在“工業化”——從單點漏洞利用演變為多向量協同攻擊，AI成為攻擊方的核心賦能工具，攻擊準備時間從數周壓縮至小時級。攻擊內容更具欺騙性，普通人幾乎無法分辨真假。

三、普通用戶如何自查防護？5條硬核措施請收好

面對如此嚴峻的形勢，我們不能指望別人來保護我們。以下5條措施，請您務必對照執行：

1. 檢查開發環境，清理可疑依賴

如果您是開發者，立即檢查你的package.json、requirements.txt、pom.xml等依賴配置文件，確認是否使用了受影響的axios版本（1.14.1和0.30.4）。使用以下命令檢查并移除可疑包：

text

npm list axiosnpm ls | grep plain-crypto-js

受影響版本應立即回退至安全版本：axios@1.14.0或0.30.3。

2. 開啟雙因素認證（2FA/MFA），加固所有賬戶

這次Axios事件暴露了最致命的弱點：一個長期有效的訪問令牌被泄露，攻擊者借此繞過所有安全措施。請立即為所有重要賬戶（GitHub、NPM、云平臺）開啟硬件密鑰或驗證碼雙因素認證，并定期更換密鑰。絕不要將長期令牌硬編碼在腳本或配置文件中。

3. 審慎對待GitHub和開源軟件——不要見什么裝什么

GitHub上的開源項目雖然免費好用，但魚龍混雜。此次OpenClaw事件表明，攻擊者可以偽造整個項目頁面——完整的README、真實的上游代碼、甚至邀請知名開發者參與合作，看起來天衣無縫。下載前請務必確認：作者歷史是否清白？社區互動是否活躍？倉庫是否來自官方渠道？看到“破解工具”“免費插件”“游戲外掛”等關鍵詞，請格外警惕。

4. 更新系統、打補丁，別讓系統裸奔

此次Interlock勒索軟件攻擊事件中，攻擊者在官方修復漏洞前36天就開始利用零日漏洞發起攻擊，長達一個多月的“窗口期”讓無數組織暴露在風險中。這個教訓告訴我們：及時更新系統和軟件、主動安裝安全補丁，是最好的自我保護。建議開啟操作系統和主要軟件的自動更新功能。

5. 安裝殺毒軟件和防火墻，至少有一道防線

攻擊者利用惡意代碼竊取信息、遠控設備，殺毒軟件和防火墻雖然不能100%阻擋所有攻擊，但至少能攔截大部分已知威脅。請確保您的電腦和手機上安裝了可靠的安全軟件，并定期掃描。

四、國家已出手：國務院頒布新規，筑牢安全防線

面對愈演愈烈的供應鏈安全威脅，國家已經果斷出手。

2026年3月31日，國務院總理李強簽署第834號國務院令，公布《國務院關于產業鏈供應鏈安全的規定》，自公布之日起施行。這是我國首次在產業鏈供應鏈安全領域出臺專門行政法規。國家將建立關鍵領域清單制度，建立健全風險監測預警、防范和應急管理制度。

信創產業也從“政策搖擺”時代進入“剛性約束”時代。國家正加速推動國產安全軟件在核心點位“接棒”，構建自主可控的技術體系與產業生態。這不僅是對國家安全的保障，也是對每一個普通用戶信息的保護。

對我們普通人來說，這些政策短期內看似遙遠，但長遠來看，一個更安全、更可控的軟件生態，最終會惠及每一個人。

寫在最后：別大意，別僥幸

供應鏈投毒不是電影里的黑客橋段，它就發生在此時此刻——你刷到的這篇文章所用的網絡、你點外賣用的小程序、你手機里的App，都可能潛藏著這些惡意代碼。

我們無法要求每個人成為安全專家，但至少可以做到：不隨意下載來歷不明的軟件和插件、不安裝來路不明的破解工具、定期檢查賬戶安全設置、多留心一眼安裝包的來源。

這次集中爆發的攻擊，是一次嚴重的預警信號。請把這篇文章轉給身邊的家人、朋友、同事，尤其是那些從事開發、運維、IT相關工作的朋友。多一個人看到，就少一分風險。

2026年4月19日緊急通報，供應鏈安全，人人有責。