阿里云優(yōu)惠券 先領券再下單

11月24日，永信至誠「數(shù)字風洞」安全團隊監(jiān)測到，一種名為 “Sha1-Hulud” 的蠕蟲式軟件供應鏈投毒正在 NPM、GitHub 等主流開源生態(tài)中快速擴散。目前受影響的開源項目已超過 2.7 萬個，其中包含下載量過億的核心組件，攻擊規(guī)模和潛在影響遠超一般惡意包事件。

安全團隊分析研判發(fā)現(xiàn)，攻擊者通過竊取熱門組件維護者的發(fā)布憑證，將惡意代碼注入原本可信的包中。這類攻擊的隱蔽性極強：一旦企業(yè)在開發(fā)或構建流程中引用了污染組件，惡意代碼便會自動執(zhí)行，在開發(fā)終端與流水線中竊取敏感信息，并借助蠕蟲機制進一步擴散。如果未能在第一時間識別污染版本，攻擊者就可能通過“被信任的依賴”進入企業(yè)內部，形成持續(xù)性滲透。

基于本次蠕蟲變種具備的 自動傳播、高度鏈路化、可跨多平臺擴散等特性，永信至誠建議企業(yè)立即采取以下措施：

1.對開發(fā)終端、CI/CD 流水線及生產環(huán)境進行全面掃描，重點識別是否存在受污染的依賴組件，確認風險邊界。

2.檢查 GitHub 倉庫是否出現(xiàn)異常跡象，如倉庫描述含 “Sha1-Hulud: The Second Coming.” 的可疑內容，或 .github/workflows 目錄中突然新增未知 workflow 文件。

更新相關憑證并收緊權限，包括云服務與代碼托管平臺訪問密鑰，盡量關閉非必要 API 權限，防止憑證被竊取后觸發(fā)進一步攻擊。

開源軟件供應鏈脆弱性顯現(xiàn)

從單點突破向全鏈條擴散

“Sha1-Hulud”事件再次證明，當軟件體系高度依賴開源生態(tài)時，供應鏈風險不再是理論場景，而是對所有政企單位的現(xiàn)實考驗。其背后體現(xiàn)的是整個行業(yè)的結構性風險，而非單一漏洞。

開源組件廣泛應用，準入機制薄弱：中國信通院數(shù)據顯示，超過 90% 的政企單位在研發(fā)中使用開源技術。開源加速了開發(fā)，但也意味著大量外部代碼在“無審核、弱門檻”的情況下直接進入企業(yè)產品，一旦出現(xiàn)投毒事件，就會迅速在生態(tài)中傳播。

依賴關系復雜，風險沿鏈傳遞：一個項目可能只有數(shù)十個直接依賴，但其傳遞性依賴往往成百上千。研究顯示，80% 的開源漏洞存在于傳遞性依賴中。開發(fā)者通常僅關注直接依賴，深層嵌套依賴長期處于“不可見”狀態(tài)，使惡意代碼更容易隱藏其間。

軟件資產不清晰，缺乏可用的 SBOM：很多企業(yè)無法回答一個基本問題：“我們的軟件中包含哪些組件？”缺乏 SBOM 導致無法快速定位風險范圍，“查不清、算不準”成為普遍難題。面對如本次事件的投毒預警，響應速度取決于是否具備可查詢的軟件資產目錄。

傳統(tǒng)安全體系已不能覆蓋上游風險：傳統(tǒng)安全更關注網絡、主機、業(yè)務層，而供應鏈攻擊發(fā)生在更“靠前”的環(huán)節(jié)——開發(fā)、構建、發(fā)布鏈路。這意味著攻擊早于傳統(tǒng)安全的感知能力，企業(yè)只能被動應對。

隨著開源生態(tài)進一步擴大、依賴鏈條繼續(xù)加深，政企用戶必須構建一套可發(fā)現(xiàn)、可識別、可追蹤、可控制的軟件供應鏈安全評估體系，以應對這種跨鏈路、跨平臺的系統(tǒng)化風險。

永信至誠「數(shù)字風洞」軟件成分分析系統(tǒng)

構建軟件供應鏈的主動防御體系

要有效應對供應鏈投毒等攻擊，安全能力必須“左移”——將檢測、識別與風險治理提前到開發(fā)生命周期。永信至誠「數(shù)字風洞」軟件成分分析系統(tǒng)（SCA）正是為此類風險場景設計，通過自動解析軟件構成，識別組件依賴、漏洞與合規(guī)風險，形成完整的供應鏈防御能力。

精準檢測開源漏洞與惡意代碼

依托豐富的漏洞知識儲備和海量的組件版本數(shù)據，同步追蹤CNVD、CNNVD等權威漏洞庫最新信息，并結合威脅情報，平臺可精準識別組件中存在的已知安全漏洞和惡意軟件包。在開發(fā)早期階段自動發(fā)現(xiàn)并預警風險，避免帶病上線。

深度解析依賴關系，識別深層風險

平臺能夠穿透多層嵌套依賴，繪制完整依賴圖譜，定位潛伏在深層依賴中的惡意代碼。面對類似“Sha1-Hulud”變種蠕蟲的供應鏈投毒，能夠快速追溯其來源路徑并分析內部傳播鏈，降低排查成本，提高修復效率。

自動生成軟件物料清單（SBOM），實現(xiàn)資產可視化

平臺會自動掃描源代碼、制品、二進制文件，識別所有開源組件，生成可追蹤、可審計的 SBOM清單，實現(xiàn)對組織IT資產的自動化盤點，最終達到"可知、可控"。在收到漏洞或投毒情報時，企業(yè)能夠在分鐘級定位受影響范圍，不再依賴人工排查，大幅提升應急速度。

靈活集成，順利嵌入 DevSecOps 流程

支持 Git、GitLab、CLI、文件上傳等多種方式，可在開發(fā)、構建、測試環(huán)節(jié)自動觸發(fā)檢測，實現(xiàn)“流程內安全”。不干擾正常開發(fā)流程，在問題源頭實現(xiàn)發(fā)現(xiàn)與修復，大幅降低后期修復成本，促進開發(fā)、安全、運維團隊協(xié)同治理供應鏈風險。

供應鏈攻擊的核心，是污染源頭影響全鏈路。在現(xiàn)代軟件體系中，“源頭是否可信”正在成為基礎安全能力的關鍵指標。

數(shù)字安全測試評估賽道領跑者、網絡靶場與人才建設領軍者、 AI「原生安全」倡導者，永信至誠將持續(xù)基于「數(shù)字風洞」產品體系，為企業(yè)構建可見、可控、可防御的軟件供應鏈安全能力，讓每一次構建、每一次依賴更新、每一條交付鏈路都建立在可被驗證的信任基礎之上。

在快速演進的數(shù)字生態(tài)中，只有讓安全成為軟件生產力的一部分，企業(yè)才能保持長期健康、穩(wěn)定與可持續(xù)的發(fā)展。永信至誠將持續(xù)基于“產品乘服務”創(chuàng)新理念，為政企用戶提供堅實的數(shù)字安全底座，保障業(yè)務連續(xù)性，守護數(shù)字健康。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！