供应链安全

42个TanStack包遭供应链劫持：6分钟植入84个恶意版本

网络攻击奇安信威胁情报中心 2026-05-13

2026年5月11日，全球开发者社区遭遇近年来规模最大的供应链攻击事件。威胁行为体Mini Shai-Hulud（由 Wiz 高置信度归因于TeamPCP组织）通过劫持 TanStack 项目的合法发布管...

某加密IM官网遭供应链投毒，“离岸”爱国者卷土重来

网络攻击奇安信威胁情报中心 2026-05-12

奇安信威胁情报中心红雨滴团队私有情报生产流程发现一家面向中文用户提供私密IM的软件官网上的安装包被替换。被替换的安装包除了正常流程外，还会释放如下组件，内存加载SN...

Hugging Face惊现供应链投毒：仿冒OpenAI仓库窃取开发者敏感数据

网络攻击奇安信威胁情报中心 2026-05-11

2026年5月7日，安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter，通过 typo...

全球知名虚拟光驱软件DAEMON Tools遭供应链攻击

网络攻击黑鸟 2026-05-05

披露了一起正在进行中的大规模供应链攻击。

供应链攻击永无眠：SAP CAP&Cloud MTA npm供应链攻击事件报告

网络攻击奇安信威胁情报中心 2026-04-29

这是一起针对 SAP CAP（Cloud Application Programming Model）和 Cloud MTA（Multi-Target Application）生态的精准 npm 供应链攻击。攻击者通过劫持/污染 SAP 官方维护的...

国内某指纹浏览器供应链投毒事件溯源分析

网络攻击京东安全应急响应中心 2026-04-27

这是一起专门针对电商从业者发起的典型供应链投毒攻击。

又又一起AI相关供应链事件：Xinference PyPI供应链污染报告

网络攻击奇安信威胁情报中心 2026-04-23

广受欢迎的 Python 软件包 xinference (Xorbits Inference) 在 PyPI 上遭到污染，该包主要用于部署大语言模型 (LLM)、语音识别和多模态 AI 模型。恶意版本 2.6.0、2.6.1 和...

国家计算机病毒应急处理中心：警惕！“龙虾”智能体被投毒

网络攻击国家计算机病毒应急处理中心 2026-04-22

“龙虾”智能体系统相关技能仓库中发现多个包含恶意代码的仿冒技能包。

Vercel供应链攻击事件深度分析：第三方AI工具成为企业安全突破口

网络攻击奇安信威胁情报中心 2026-04-21

Vercel内部系统遭未授权访问事件的根源是第三方AI工具Context.ai的一名员工于2026年2月感染Lumma信息窃取器，被窃取了包括Google Workspace在内的多项服务凭据，其中部分凭...

AI提效供应商被黑，至少十余家客户遭数据泄露及勒索攻击

数据泄露安全内参 2026-04-10

由于AI提效供应商Anodot被黑，身份验证令牌泄露，导致至少12家公司的Snowflake云数据平台遭到数据窃取，部分公司还受到了ShinyHunters组织的数据勒索威胁；这一事件再次展...

“猪猪侠”的阴影：疑似某虚拟手机服务商官网安装包被供应链攻击

网络攻击奇安信威胁情报中心 2026-04-08

奇安信威胁情报中心红雨滴团队私有情报生产流程发现国内一家提供云手机、虚拟手机的服务商官网安装包疑似于2026年2月-3月底期间被替换，目前已经恢复正常，该事件造成大量...

《国务院关于产业链供应链安全的规定》印发

政策中国政府网 2026-04-07

防范产业链供应链安全风险，提升产业链供应链韧性和安全水平，维护经济社会稳定和国家安全。

axios npm供应链投毒事件分析：针对核心开源库的远控木马化攻击

网络攻击奇安信威胁情报中心 2026-03-31

StepSecurity监测发现，广受欢迎的HTTP客户端库 axios 在npm上被发布两个恶意版本。

又一个开发工具沦陷：Apifox遭供应链投毒攻击

网络攻击奇安信威胁情报中心 2026-03-26

近期，Apifox遭遇供应链投毒攻击，攻击者篡改了Apifox官方CDN上的动态JS文件，在大量开发者电脑上植入隐蔽后门，最终可实现凭证窃取和远程命令执行等恶意功能。此次攻击影...

LiteLLM最近供应链安全事件详细分析

网络攻击奇安信威胁情报中心 2026-03-25

攻击者利用.pth机制窃取云凭证、SSH密钥等，并在K8s环境横向移动。用户应立即检查版本、轮换所有凭证并删除恶意文件。

大模型网关LiteLLM的PyPI包遭投毒，用户凭据和认证令牌遭窃取

网络攻击代码卫士 2026-03-25

攻击者声称在攻击中已窃取数十万台设备的数据。

PB级罕见规模！加拿大外包巨头Telus Digital遭网络攻击，1PB数据疑似泄露

数据泄露安全内参 2026-03-24

加拿大外包巨头Telus Digital确认发生数据泄露事件，据称威胁组织ShinyHunters通过去年的Salesloft Drift攻击获取到该公司的谷歌云凭证，从而访问了公司的大数据平台和大量...

美国防酒驾系统因网络攻击瘫痪多天：全国大量车辆无法启动、民众出行受影响

交通物流安全内参 2026-03-20

美国酒精检测服务商Intoxalock称遭到DDoS攻击，导致旗下防酒驾检测系统瘫痪多天，所有安装其检测装置的车辆均无法启动，民众出行受到影响；该事件影响了全美46个州，仅缅因...

服务提供商被黑，爱立信美国公司数据遭泄露

信息通信代码卫士 2026-03-10

影响范围尚未确定。

迷惑行为：黑客入侵Cline只为下发OpenClaw？

网络攻击玄月调查小组 2026-02-23

该恶意版本在 8 小时窗口期内下载量约 4000 次，虽未造成直接恶意破坏，却成为 AI 开发工具供应链风险从理论走向现实的标志性事件。