供应链安全

警惕：正在以前所未有的规模污染开源代码的黑客组织TeamPCP

网络犯罪黑鸟 2026-05-21

TeamPCP篡改了数百个开源工具，通过勒索受害者获利，并在全球软件开发所依赖的整个生态系统中播下了新的不信任。

GitHub遭恶意VS Code插件入侵：3800个内部仓库被盗

数据泄露看雪学苑 2026-05-20

GitHub Actions供应链遭精准狙击：攻击者"移花接木"掏空CI/CD管道凭据

网络攻击奇安信威胁情报中心 2026-05-20

攻击者瞄上了GitHub Actions市场中的热门工作流项目——actions-cool/issues-helper（用于自动化Issue管理的开源Action）及其关联项目actions-cool/maintain-one-comment，通...

OpenAI又被黑了！敏感密钥和证书泄露，供应链攻击防不胜防

网络攻击安全内参 2026-05-18

OpenAI两名员工的设备因供应链攻击而受到影响，部分公司代码仓库的密钥、证书等敏感信息泄露，攻击者或可进一步窃取信息，或伪造ChatGPT、Codex官方客户端实施二次攻击等；...

42个TanStack包遭供应链劫持：6分钟植入84个恶意版本

网络攻击奇安信威胁情报中心 2026-05-13

2026年5月11日，全球开发者社区遭遇近年来规模最大的供应链攻击事件。威胁行为体Mini Shai-Hulud（由 Wiz 高置信度归因于TeamPCP组织）通过劫持 TanStack 项目的合法发布管...

某加密IM官网遭供应链投毒，“离岸”爱国者卷土重来

网络攻击奇安信威胁情报中心 2026-05-12

奇安信威胁情报中心红雨滴团队私有情报生产流程发现一家面向中文用户提供私密IM的软件官网上的安装包被替换。被替换的安装包除了正常流程外，还会释放如下组件，内存加载SN...

Hugging Face惊现供应链投毒：仿冒OpenAI仓库窃取开发者敏感数据

网络攻击奇安信威胁情报中心 2026-05-11

2026年5月7日，安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter，通过 typo...

全球知名虚拟光驱软件DAEMON Tools遭供应链攻击

网络攻击黑鸟 2026-05-05

披露了一起正在进行中的大规模供应链攻击。

供应链攻击永无眠：SAP CAP&Cloud MTA npm供应链攻击事件报告

网络攻击奇安信威胁情报中心 2026-04-29

这是一起针对 SAP CAP（Cloud Application Programming Model）和 Cloud MTA（Multi-Target Application）生态的精准 npm 供应链攻击。攻击者通过劫持/污染 SAP 官方维护的...

国内某指纹浏览器供应链投毒事件溯源分析

网络攻击京东安全应急响应中心 2026-04-27

这是一起专门针对电商从业者发起的典型供应链投毒攻击。

又又一起AI相关供应链事件：Xinference PyPI供应链污染报告

网络攻击奇安信威胁情报中心 2026-04-23

广受欢迎的 Python 软件包 xinference (Xorbits Inference) 在 PyPI 上遭到污染，该包主要用于部署大语言模型 (LLM)、语音识别和多模态 AI 模型。恶意版本 2.6.0、2.6.1 和...

国家计算机病毒应急处理中心：警惕！“龙虾”智能体被投毒

网络攻击国家计算机病毒应急处理中心 2026-04-22

“龙虾”智能体系统相关技能仓库中发现多个包含恶意代码的仿冒技能包。

Vercel供应链攻击事件深度分析：第三方AI工具成为企业安全突破口

网络攻击奇安信威胁情报中心 2026-04-21

Vercel内部系统遭未授权访问事件的根源是第三方AI工具Context.ai的一名员工于2026年2月感染Lumma信息窃取器，被窃取了包括Google Workspace在内的多项服务凭据，其中部分凭...

AI提效供应商被黑，至少十余家客户遭数据泄露及勒索攻击

数据泄露安全内参 2026-04-10

由于AI提效供应商Anodot被黑，身份验证令牌泄露，导致至少12家公司的Snowflake云数据平台遭到数据窃取，部分公司还受到了ShinyHunters组织的数据勒索威胁；这一事件再次展...

“猪猪侠”的阴影：疑似某虚拟手机服务商官网安装包被供应链攻击

网络攻击奇安信威胁情报中心 2026-04-08

奇安信威胁情报中心红雨滴团队私有情报生产流程发现国内一家提供云手机、虚拟手机的服务商官网安装包疑似于2026年2月-3月底期间被替换，目前已经恢复正常，该事件造成大量...

《国务院关于产业链供应链安全的规定》印发

政策中国政府网 2026-04-07

防范产业链供应链安全风险，提升产业链供应链韧性和安全水平，维护经济社会稳定和国家安全。

axios npm供应链投毒事件分析：针对核心开源库的远控木马化攻击

网络攻击奇安信威胁情报中心 2026-03-31

StepSecurity监测发现，广受欢迎的HTTP客户端库 axios 在npm上被发布两个恶意版本。

又一个开发工具沦陷：Apifox遭供应链投毒攻击

网络攻击奇安信威胁情报中心 2026-03-26

近期，Apifox遭遇供应链投毒攻击，攻击者篡改了Apifox官方CDN上的动态JS文件，在大量开发者电脑上植入隐蔽后门，最终可实现凭证窃取和远程命令执行等恶意功能。此次攻击影...

LiteLLM最近供应链安全事件详细分析

网络攻击奇安信威胁情报中心 2026-03-25

攻击者利用.pth机制窃取云凭证、SSH密钥等，并在K8s环境横向移动。用户应立即检查版本、轮换所有凭证并删除恶意文件。

大模型网关LiteLLM的PyPI包遭投毒，用户凭据和认证令牌遭窃取

网络攻击代码卫士 2026-03-25

攻击者声称在攻击中已窃取数十万台设备的数据。