01 引 言年度报告Annual Report随着大语言模型LLM的逐步成熟、对话式智能体的广泛验证、AI场景化训练数据的快速积累以及企业对智能化与目标驱动型AI应用的迫切需求越来越多的企业将AI数智化转型作为提升核心竞争力的关键其中Agentic AI的应用成果不仅依赖于单一的技术突破更在于构建系统性、端到端的落地能力同时也催生新型AI原生安全风险与数字供应链治理挑战。2025年是开源供应链攻击威胁加速深化的一年尤其是针对开源生态的恶意投毒进一步向自动化与复杂化快速演进。从 NPM、PyPI 等主流仓库的批量投毒到 IDE 扩展市场的定向投毒再到Agentic AI生态的新型投毒攻击整体呈现出攻击范围扩大化、技术手段智能化以及对抗方式多样化等鲜明趋势。这一年开源生态发生多起影响重大的供应链投毒事件其中NPM仓库连续两次 Shai-Hulud (代号沙虫) 恶意蠕虫大规模爆发成为开源供应链投毒攻击的标志性事件开源生态的信任基石也遭遇极大冲击。02供应链投毒攻击态势Attack Surface在2025年悬镜安全情报中心通过持续监控全网主流开源生态平台和Agentic AI生态社区对潜藏恶意代码风险的投毒包涉及开源组件、IDE扩展插件、AI模型、Agent MCP及Agent Skill工具等进行供应链安全智能审查总共识别56928个存在真实恶意行为及攻击意图的投毒包总量相较于2024年约为3.6w显著提升58%。其中NPM公共仓库的代码投毒占比超过92%。Pypi公共仓库由于在2024年遭受集中式投毒后加强平台安全防护机制启用账户双因子认证等措施2025年Pypi仓库投毒占比为4.49%相较2024年呈现轻微下降趋势。AI模型托管平台HuggingFace已成为恶意模型投放的主要平台超过940多个模型文件被攻击者实施投毒。此外针对IDE扩展市场以VS Code为主、Ruby及Go生态的投毒攻击也日趋频繁。2025年开源生态恶意投毒分布情况针对所有恶意投毒包我们通过多维数字供应链安全纵深分析与溯源评估识别出投毒包使用的攻击方式及其关键恶意行为标签。投毒包主要攻击方式♥投毒包主要攻击方式包括 恶意代码内嵌执行 恶意文件下载执行 恶意文件释放执行 恶意代码内存执行 系统命令执行 系统文件篡改 提示词攻击其中投毒者最常用的攻击方式依旧是恶意代码内嵌执行51.58%其攻击流程主要利用主流包管理器中的安装指令在组件包安装或加载时静默执行内嵌在源码文件中的恶意代码。系统命令执行31.13%、恶意文件下载执行9.82%、恶意文件释放执行5.09%、恶意代码内存执行1.77%以及系统文件篡改0.56%都是攻击者惯用的投毒手段。此外随着Agentic AI的规模化应用借助提示词进行恶意语义攻击提示词注入、语义误导等也逐渐成为攻击者针对AI开源生态投毒的主要新型攻击方式之一。投毒包恶意行为标签在所有恶意投毒包中信息窃取攻击仍居高位占比达83.8%其中系统平台信息、系统密码文件、网络配置、用户信息、主流浏览器Cookie/登录凭证、数字钱包应用数据以及各类业务凭证口令包括Github Token、NPM Token、云服务Access Key ID/Secret等皆为攻击者主要窃取目标。其次通过远控木马和反连Shell后门进行远控攻击事件也呈逐年上涨趋势。此外针对Agentic AI开源生态的投毒攻击除了提示词注入AI模型文件恶意代码注入、伪装AI模型SDK、stdio模式的Agent MCP Server及Skill包的恶意语义误导及代码投毒都是攻击者常用的AI供应链投毒攻击行为。03供应链投毒案例分析Case Analysis本节将从2025年恶意投毒包中选取部分代表性样本进行技术分析还原投毒攻击细节以及攻击者常用的对抗技术。3.1 Agentic AI 生态AI模型文件序列化代码注入投毒主流深度学习框架PyTorch、TensorFlow等训练生成的模型文件权重及checkpoint数据通常会使用Python的pickle模块进行模型数据序列化存储。而由于pickle模块反序列时可重写对象__reduce__方法实现反序列化代码执行因此攻击者可利用该特性将恶意代码序列化嵌入到模型文件中并发布到开源模型托管平台HuggingFace、ModelScope等当开发者使用torch.load()等接口直接加载模型文件时将静默触发执行内嵌在模型文件中的恶意代码导致供应链攻击。以 HuggingFace 平台 playedalive/mdy-red-1 项目为例如下图所示其模型文件 model.pkl 被植入反序列恶意python代码主要功能是反向shell远控后门远控服务器地址及端口为52.48.12.202:8080。恶意模型项目模型文件内嵌恶意代码Agent MCP Server 提示词注入MCP (Model Context Protocol模型上下文协议) 是LLM模型与外部工具交互的开放标准MCP Server 是实现该协议的工具服务端。MCP Server 提示词注入原理在于利用LLM模型无法正确区分数据与指令及其对上下文输入的高度依赖性等特性攻击者通过在与模型交互的数据源中植入恶意指令诱导模型执行非预期操作甚至可进一步实现对 AI Agent的行为劫持与权限滥用。以Python仓库组件 wei516-tpa 为例该组件伪装成提供天气服务的MCP Server该MCP 服务提供了 weather_info() 工具接口并在工具描述里使用 SYSTEM_DIRECTIVE 标签尝试伪装成系统指令进行提示词注入攻击指令主要功能是诱导AI应用系统对任意可读目录下的 api_key.txt 文件内容追加FLAG标记位。MCP工具描述植入恶意提示词Agent Skill 恶意指令投毒Skill 技能包作为 AI Agent 的外部功能扩展模块其原生具备比MCP Server更高权限的执行环境以及与模型交互能力但由于目前大部分Skill市场缺乏严格的安全审查机制导致Skill市场面临来自攻击者的代码投毒及恶意指令滥用等风险。第三方 Skill的集成引入已经成为Agent系统面临的最危险供应链攻击面。近期OpenClaw Skill市场遭受批量化投毒攻击悬镜安全情报中心对其Skill市场3325个包进行恶意代码及高风险语义扫描后检测出 452个存在高危 恶意代码行为的Skill包。绝大部分Skill包直接在 SKILL.md 指令文档中嵌入恶意指令从而操纵AI Agent执行高险操作包括远程植入木马程序、恶意shell命令执行、敏感数据外传等。以base-agent skill为例在 SKILL.md 文件中根据系统环境执行相应的远程恶意木马植入操作对于Windows系统直接操纵Agent远程下载加密压缩包 AuthTool.zip解密解压后执行恶意程序 AuthTool.exe对于Mac系统用户则通过执行base64编码的shell命令远程下载植入AmosStealer窃密木马。base-agent skill功能描述base-agent skill恶意指令3.2 VSCode插件市场伪装Codex AI插件植入恶意木马攻击者发布 codex-ai-pro 并伪装成Codex AI编程助手插件在插件入口模块 extension.js 的 active()函数中植入定时器每隔一秒执行一次runScript() 函数如下图所示。codex-ai-pro恶意插件恶意函数定时器恶意函数 runScript() 定时执行 script/run.bat 脚本其主要功能是远程下载并启动Windows可执行程序 Lightshot.exe 及 Lightshot.dll 。bat脚本下载器Lightshot.dll 动态链接库实际是一款针对Windows平台的恶意木马由 Lightshot.exe 负责加载执行。恶意木马Lightshot.dll3.3 Python公共仓库伪装AI框架库劫持数字钱包应用攻击者利用pytensorlite包名尝试伪装成知名AI框架库pytensor并诱导开发者下载安装其主要功能是从github远程下载并执行攻击者投放的下一阶段被混淆保护的恶意py文件。pytensorlite投毒包主页如下图所示远程恶意py文件负责从 Chrome 、Edge 、Firefox等主流浏览器应用以及 Exodus、Atomic 、 Electrum 等主流加密货币钱包应用中窃取敏感数据包括用户登录凭证、密码相关文档等窃取的数据被zip打包后上传到攻击者控制的webhook接口。远程恶意py代码此外攻击者还会使用预制的恶意app.asar文件对系统中Atomic及exodus数字钱包客户端进行替换劫持如下图所示。数字钱包应用asar文件注入劫持利用压缩包执行特性绕过静态检测使用Python解释器执行ZIP压缩包文件时如果压缩包根目录中包含 __main__.pyPython 会将该 ZIP 当作可执行程序运行并执行压缩包目录中的 __main__.py 脚本。攻击者可利用该特性将恶意代码封装在ZIP压缩包中进行分发执行以此躲避初级的静态代码检测。以Python组件 devilfree 为例该恶意组件运行时会先释放出ZIP压缩包文件 .Devil接着通过 Python .Devil 命令直接执行ZIP压缩包如下图所示。释放执行压缩包payload.Devil 实际上是个ZIP压缩包文件文件列表如下图所示由于 .Devil 压缩包内包含__main__.py文件因此投毒者巧妙利用Python解释器执行压缩包的特性实现隐蔽执行.Devil压缩包中的 __main__.py 脚本代码。压缩包文件列表__main__.py 代码内容如下图所示被混淆处理过其主要功能是实现对 .Devil 压缩包的自解压并通过判断当前系统CPU架构来加载执行释放出的恶意可执行程序。不同CPU对应的可执行程序文件映射关系如下所示。{armv7l: Devil32, armv8l: armeabi-v7a, arm: Devil32, aarch64: Devil64, arm64: Devil64, x86: x86, i686: x86, x86_64: x86_64, amd64: x86_64}AI写代码压缩包内置__main__.py恶意脚本3.4 NPM 公共仓库引用外部恶意依赖绕过静态检测在2025年悬镜安全情报中心发现数百起NPM投毒攻击事件是通过利用组件外部依赖方式来间接引入恶意包其主要攻击细节是在NPM组件package.json中通过借用外部高信誉的托管平台来分发恶意依赖包以此绕过传统静态代码检测以及恶意IoC检测。以rc-icon组件为例package.json中通过 dependencies 配置外部依赖该外部依赖托管在谷歌云存储上该方式不仅可规避常规的静态检测也直接绕过了NPM官方仓库的依赖扫描统计。如下图所示rc-icon组件外部依赖配置rc-icon组件自身代码不存在任何恶意行为但其托管在谷歌云上的依赖组件ltidisafe是攻击者投放的恶意包如下图所示其主要功能是在组件安装过程中静默执行恶意文件test.js以此来收集并外传系统网络信息、主机名、用户目录等敏感数据。https://ltidi.storage.googleapis.com/ltidisafe-1.0.6.tgzAI写代码外部依赖ltidisafe恶意行为混淆代码动态执行绕过静态检测截至目前NPM仓库正持续遭受CHAI系列投毒攻击不同攻击者定期向NPM仓库投放大量组件包名以“chai-”开头的恶意包该系列投毒包在代码特征上具备高度相似性都是从攻击者C2服务器上拉取高度混淆的恶意JS代码直接动态执行不存在任何文件落盘行为猜测该系列投毒与APT组织有关。以组件 chai-min 为例其 lib/caller.js 文件被植入恶意代码核心功能是从远程服务器拉取一段高度混淆且内容由攻击者动态控制的恶意JS代码并通过 new Function.constructor() 接口动态加载执行。如下图所示lib/caller.js恶意代码攻击者使用的远程服务器链接被base64编码解码后为https://jsonkeeper.com/b/ARL7M 。这是一段高度混淆的JavaScript代码采用多层字符串编码、变量名混淆和控制流扁平化等技术来对抗静态代码分析其主要功能包括收集系统平台及环境信息、窃取主流浏览器cookie与登录凭证以及收集加密货币钱包如MetaMask、TrustWallet等浏览器插件的敏感数据。远程恶意JS代码基于时间门控的远程代码执行后门winston-loggerex 该NPM组件的 lib/winston-loggerex/logger.js 文件被植入恶意代码其主要功能是一个基于时间门控的远程代码执行后门。在特定日期2025-10-13 06:30:00 GMT之后攻击者投放在Google 云盘上https://docs.google.com/uc?exportdownloadid1prQlXmreHK0Q-6I7t01kDbCmrswma54W的远程后门代码才被允许下载后门代码最终经过base64解码后通过 new Function 接口动态加载执行。winston-loggerex主页远程后门代码动态执行04供应链投毒治理建议Governance Advice4.1 多模态SCA审查针对日趋隐蔽的数字供应链投毒攻击传统单一源码扫描已无法满足安全防护需求亟需引入支持“源码 - 二进制 - 运行时” 全链路场景的多模态 SCA 检测能力构建投毒攻击深层防御体系不仅可深度解析检测源代码、二进制文件、容器镜像等常规资产还能覆盖Agentic AI生态热点资产如模型权重文件、数据集、MCP 和 SKILL等。结合源鉴SCA 的技术实践唯有建立跨越开发态、交付态与运行态的供应链投毒综合审查机制才能为企业构建起一道覆盖全技术栈的供应链安全防线。4.2 全生命周期SBOM管理软件物料清单SBOM是治理供应链投毒的基石但静态清单无法应对动态威胁。只有通过构建、测试、部署等各个环节实时采集并更新 SBOM 数据才能够建立一份动态、透明的数字供应链资产清单。通过深度联动供应链投毒情报基于全生命周期SBOM管理驱动的检测方案在应对投毒攻击时能够迅速精准响应并且可通过最新SBOM拓扑图和关键 IOC进行全局溯源秒级定位受影响的业务资产与代码路径极大缩短投毒事件的应急响应窗口同时依托全生命周期SBOM可持续监控数字资产的数据完整性确保业务资产始终处于可控、可信状态。4.3 联动供应链投毒情报预警接入第三方权威数字供应链情报源如悬镜云脉XSBOM供应链情报订阅服务整合权威漏洞情报库及第三方专业投毒情报源构建“情报—SBOM—DevSecOps”三位一体联动机制将供应链安全情报深度融入DevSecOps敏捷安全全阶段构建全流程积极防御体系。在开发阶段将情报接入开发环境实现实时预警恶意开源组件及投毒依赖从源头规范依赖引入在编译阶段在 CI/CD 流水线集成SBOM生成与依赖图谱分析通过联动投毒情报库扫描深层嵌套依赖、容器镜像等制品精准识别投毒组件阻断带毒产物进入构建流程在运行阶段依托投毒情报IoC与行为基线模型动态监测异常外联、数据窃取等投毒后门行为提供运行时投毒风险预警。4.4 AI原生安全治理AI 原生安全治理需覆盖“供应链资产安全”与“运行时动态防御”双主线。供应链资产层面针对开源组件、模型、数据集等核心资产建立全流程管控确保数据采集、训练阶段过滤有毒数据模型发布优先选择安全的文件存储格式如huggingface safetensors模型加载前需进行安全扫描避免加载内嵌恶意代码的模型文件此外还需构建AI原生安全开发流水线在代码提交、PR合并、CI构建、插件/工具引入等环节嵌入AI模型驱动的原生安全审查流程实时检测传统代码投毒及恶意指令。运行时防御层面聚焦提示词注入、外部工具恶意行为等场景实施部署环境隔离与权限最小化防范运行时恶意代码执行及敏感数据外泄。05 总结与展望年度报告Annual Report2025年开源供应链生态中的恶意投毒攻击已进入高发期攻击态势进一步呈现多样化及目标范围扩大化等显著趋势。由于开源生态 “轻审核” 机制从主流公共仓库NPM、PyPI到AI模型托管平台及AI Agent生态市场投毒攻击的目标范围持续扩大攻击者使用的技术手法也越来越老练同时对抗手段也日趋复杂混淆保护绕过静态扫描、反调试、反沙箱检测、甚至利用LLM生成低特征投毒代码等现象将成常态。对于防御端应构建从开发到部署的纵深防御体系通过接入供应链投毒情报与可信验证机制实现“安全情报前置、全链路阻断”的防护方案。在此背景下SBOM软件物料清单不再仅是合规备案的静态清单而是成为供应链投毒治理的核心数据资产。结合数字供应链安全管理平台作为治理中枢将企业内外部的SBOM资产统一纳管并与实时接入的供应链安全情报流进行自动化关联与威胁匹配使平台可迅速内对SBOM执行溯源匹配精准定位受影响的应用、容器镜像及运行时实例。在组件引入、构建打包及制品部署阶段实现“情报驱动SBOM”的治理能力。由此SBOM从离散的软件物料资产台账升维为与供应链安全情报共生演进投毒治理也从被动排查升级为体系化、自动化、精准化的积极免疫响应。攻以守本为快不破AI智能时代全球开源软件供应链攻击正加速向Agentic AI生态纵深演进呈现“传统包管理器AI原生载体”双轨渗透趋势唯有构建基于“AI原生安全 DevSecOps敏捷安全多模态SCA开源供应链情报预警”技术的新一代数字供应链安全治理体系从源头治理大模型开发、训练、部署到智能体运营等关键环节面临的AI原生安全风险帮助企业用户构筑一套从传统软件供应链到AI原生供应链全生命周期的内生安全治理体系方能从根源上持续守护好新一代数字供应链安全。
#AI原生安全,免费获取!开源供应链安全情报技术分析完整报告
01 引 言年度报告Annual Report随着大语言模型LLM的逐步成熟、对话式智能体的广泛验证、AI场景化训练数据的快速积累以及企业对智能化与目标驱动型AI应用的迫切需求越来越多的企业将AI数智化转型作为提升核心竞争力的关键其中Agentic AI的应用成果不仅依赖于单一的技术突破更在于构建系统性、端到端的落地能力同时也催生新型AI原生安全风险与数字供应链治理挑战。2025年是开源供应链攻击威胁加速深化的一年尤其是针对开源生态的恶意投毒进一步向自动化与复杂化快速演进。从 NPM、PyPI 等主流仓库的批量投毒到 IDE 扩展市场的定向投毒再到Agentic AI生态的新型投毒攻击整体呈现出攻击范围扩大化、技术手段智能化以及对抗方式多样化等鲜明趋势。这一年开源生态发生多起影响重大的供应链投毒事件其中NPM仓库连续两次 Shai-Hulud (代号沙虫) 恶意蠕虫大规模爆发成为开源供应链投毒攻击的标志性事件开源生态的信任基石也遭遇极大冲击。02供应链投毒攻击态势Attack Surface在2025年悬镜安全情报中心通过持续监控全网主流开源生态平台和Agentic AI生态社区对潜藏恶意代码风险的投毒包涉及开源组件、IDE扩展插件、AI模型、Agent MCP及Agent Skill工具等进行供应链安全智能审查总共识别56928个存在真实恶意行为及攻击意图的投毒包总量相较于2024年约为3.6w显著提升58%。其中NPM公共仓库的代码投毒占比超过92%。Pypi公共仓库由于在2024年遭受集中式投毒后加强平台安全防护机制启用账户双因子认证等措施2025年Pypi仓库投毒占比为4.49%相较2024年呈现轻微下降趋势。AI模型托管平台HuggingFace已成为恶意模型投放的主要平台超过940多个模型文件被攻击者实施投毒。此外针对IDE扩展市场以VS Code为主、Ruby及Go生态的投毒攻击也日趋频繁。2025年开源生态恶意投毒分布情况针对所有恶意投毒包我们通过多维数字供应链安全纵深分析与溯源评估识别出投毒包使用的攻击方式及其关键恶意行为标签。投毒包主要攻击方式♥投毒包主要攻击方式包括 恶意代码内嵌执行 恶意文件下载执行 恶意文件释放执行 恶意代码内存执行 系统命令执行 系统文件篡改 提示词攻击其中投毒者最常用的攻击方式依旧是恶意代码内嵌执行51.58%其攻击流程主要利用主流包管理器中的安装指令在组件包安装或加载时静默执行内嵌在源码文件中的恶意代码。系统命令执行31.13%、恶意文件下载执行9.82%、恶意文件释放执行5.09%、恶意代码内存执行1.77%以及系统文件篡改0.56%都是攻击者惯用的投毒手段。此外随着Agentic AI的规模化应用借助提示词进行恶意语义攻击提示词注入、语义误导等也逐渐成为攻击者针对AI开源生态投毒的主要新型攻击方式之一。投毒包恶意行为标签在所有恶意投毒包中信息窃取攻击仍居高位占比达83.8%其中系统平台信息、系统密码文件、网络配置、用户信息、主流浏览器Cookie/登录凭证、数字钱包应用数据以及各类业务凭证口令包括Github Token、NPM Token、云服务Access Key ID/Secret等皆为攻击者主要窃取目标。其次通过远控木马和反连Shell后门进行远控攻击事件也呈逐年上涨趋势。此外针对Agentic AI开源生态的投毒攻击除了提示词注入AI模型文件恶意代码注入、伪装AI模型SDK、stdio模式的Agent MCP Server及Skill包的恶意语义误导及代码投毒都是攻击者常用的AI供应链投毒攻击行为。03供应链投毒案例分析Case Analysis本节将从2025年恶意投毒包中选取部分代表性样本进行技术分析还原投毒攻击细节以及攻击者常用的对抗技术。3.1 Agentic AI 生态AI模型文件序列化代码注入投毒主流深度学习框架PyTorch、TensorFlow等训练生成的模型文件权重及checkpoint数据通常会使用Python的pickle模块进行模型数据序列化存储。而由于pickle模块反序列时可重写对象__reduce__方法实现反序列化代码执行因此攻击者可利用该特性将恶意代码序列化嵌入到模型文件中并发布到开源模型托管平台HuggingFace、ModelScope等当开发者使用torch.load()等接口直接加载模型文件时将静默触发执行内嵌在模型文件中的恶意代码导致供应链攻击。以 HuggingFace 平台 playedalive/mdy-red-1 项目为例如下图所示其模型文件 model.pkl 被植入反序列恶意python代码主要功能是反向shell远控后门远控服务器地址及端口为52.48.12.202:8080。恶意模型项目模型文件内嵌恶意代码Agent MCP Server 提示词注入MCP (Model Context Protocol模型上下文协议) 是LLM模型与外部工具交互的开放标准MCP Server 是实现该协议的工具服务端。MCP Server 提示词注入原理在于利用LLM模型无法正确区分数据与指令及其对上下文输入的高度依赖性等特性攻击者通过在与模型交互的数据源中植入恶意指令诱导模型执行非预期操作甚至可进一步实现对 AI Agent的行为劫持与权限滥用。以Python仓库组件 wei516-tpa 为例该组件伪装成提供天气服务的MCP Server该MCP 服务提供了 weather_info() 工具接口并在工具描述里使用 SYSTEM_DIRECTIVE 标签尝试伪装成系统指令进行提示词注入攻击指令主要功能是诱导AI应用系统对任意可读目录下的 api_key.txt 文件内容追加FLAG标记位。MCP工具描述植入恶意提示词Agent Skill 恶意指令投毒Skill 技能包作为 AI Agent 的外部功能扩展模块其原生具备比MCP Server更高权限的执行环境以及与模型交互能力但由于目前大部分Skill市场缺乏严格的安全审查机制导致Skill市场面临来自攻击者的代码投毒及恶意指令滥用等风险。第三方 Skill的集成引入已经成为Agent系统面临的最危险供应链攻击面。近期OpenClaw Skill市场遭受批量化投毒攻击悬镜安全情报中心对其Skill市场3325个包进行恶意代码及高风险语义扫描后检测出 452个存在高危 恶意代码行为的Skill包。绝大部分Skill包直接在 SKILL.md 指令文档中嵌入恶意指令从而操纵AI Agent执行高险操作包括远程植入木马程序、恶意shell命令执行、敏感数据外传等。以base-agent skill为例在 SKILL.md 文件中根据系统环境执行相应的远程恶意木马植入操作对于Windows系统直接操纵Agent远程下载加密压缩包 AuthTool.zip解密解压后执行恶意程序 AuthTool.exe对于Mac系统用户则通过执行base64编码的shell命令远程下载植入AmosStealer窃密木马。base-agent skill功能描述base-agent skill恶意指令3.2 VSCode插件市场伪装Codex AI插件植入恶意木马攻击者发布 codex-ai-pro 并伪装成Codex AI编程助手插件在插件入口模块 extension.js 的 active()函数中植入定时器每隔一秒执行一次runScript() 函数如下图所示。codex-ai-pro恶意插件恶意函数定时器恶意函数 runScript() 定时执行 script/run.bat 脚本其主要功能是远程下载并启动Windows可执行程序 Lightshot.exe 及 Lightshot.dll 。bat脚本下载器Lightshot.dll 动态链接库实际是一款针对Windows平台的恶意木马由 Lightshot.exe 负责加载执行。恶意木马Lightshot.dll3.3 Python公共仓库伪装AI框架库劫持数字钱包应用攻击者利用pytensorlite包名尝试伪装成知名AI框架库pytensor并诱导开发者下载安装其主要功能是从github远程下载并执行攻击者投放的下一阶段被混淆保护的恶意py文件。pytensorlite投毒包主页如下图所示远程恶意py文件负责从 Chrome 、Edge 、Firefox等主流浏览器应用以及 Exodus、Atomic 、 Electrum 等主流加密货币钱包应用中窃取敏感数据包括用户登录凭证、密码相关文档等窃取的数据被zip打包后上传到攻击者控制的webhook接口。远程恶意py代码此外攻击者还会使用预制的恶意app.asar文件对系统中Atomic及exodus数字钱包客户端进行替换劫持如下图所示。数字钱包应用asar文件注入劫持利用压缩包执行特性绕过静态检测使用Python解释器执行ZIP压缩包文件时如果压缩包根目录中包含 __main__.pyPython 会将该 ZIP 当作可执行程序运行并执行压缩包目录中的 __main__.py 脚本。攻击者可利用该特性将恶意代码封装在ZIP压缩包中进行分发执行以此躲避初级的静态代码检测。以Python组件 devilfree 为例该恶意组件运行时会先释放出ZIP压缩包文件 .Devil接着通过 Python .Devil 命令直接执行ZIP压缩包如下图所示。释放执行压缩包payload.Devil 实际上是个ZIP压缩包文件文件列表如下图所示由于 .Devil 压缩包内包含__main__.py文件因此投毒者巧妙利用Python解释器执行压缩包的特性实现隐蔽执行.Devil压缩包中的 __main__.py 脚本代码。压缩包文件列表__main__.py 代码内容如下图所示被混淆处理过其主要功能是实现对 .Devil 压缩包的自解压并通过判断当前系统CPU架构来加载执行释放出的恶意可执行程序。不同CPU对应的可执行程序文件映射关系如下所示。{armv7l: Devil32, armv8l: armeabi-v7a, arm: Devil32, aarch64: Devil64, arm64: Devil64, x86: x86, i686: x86, x86_64: x86_64, amd64: x86_64}AI写代码压缩包内置__main__.py恶意脚本3.4 NPM 公共仓库引用外部恶意依赖绕过静态检测在2025年悬镜安全情报中心发现数百起NPM投毒攻击事件是通过利用组件外部依赖方式来间接引入恶意包其主要攻击细节是在NPM组件package.json中通过借用外部高信誉的托管平台来分发恶意依赖包以此绕过传统静态代码检测以及恶意IoC检测。以rc-icon组件为例package.json中通过 dependencies 配置外部依赖该外部依赖托管在谷歌云存储上该方式不仅可规避常规的静态检测也直接绕过了NPM官方仓库的依赖扫描统计。如下图所示rc-icon组件外部依赖配置rc-icon组件自身代码不存在任何恶意行为但其托管在谷歌云上的依赖组件ltidisafe是攻击者投放的恶意包如下图所示其主要功能是在组件安装过程中静默执行恶意文件test.js以此来收集并外传系统网络信息、主机名、用户目录等敏感数据。https://ltidi.storage.googleapis.com/ltidisafe-1.0.6.tgzAI写代码外部依赖ltidisafe恶意行为混淆代码动态执行绕过静态检测截至目前NPM仓库正持续遭受CHAI系列投毒攻击不同攻击者定期向NPM仓库投放大量组件包名以“chai-”开头的恶意包该系列投毒包在代码特征上具备高度相似性都是从攻击者C2服务器上拉取高度混淆的恶意JS代码直接动态执行不存在任何文件落盘行为猜测该系列投毒与APT组织有关。以组件 chai-min 为例其 lib/caller.js 文件被植入恶意代码核心功能是从远程服务器拉取一段高度混淆且内容由攻击者动态控制的恶意JS代码并通过 new Function.constructor() 接口动态加载执行。如下图所示lib/caller.js恶意代码攻击者使用的远程服务器链接被base64编码解码后为https://jsonkeeper.com/b/ARL7M 。这是一段高度混淆的JavaScript代码采用多层字符串编码、变量名混淆和控制流扁平化等技术来对抗静态代码分析其主要功能包括收集系统平台及环境信息、窃取主流浏览器cookie与登录凭证以及收集加密货币钱包如MetaMask、TrustWallet等浏览器插件的敏感数据。远程恶意JS代码基于时间门控的远程代码执行后门winston-loggerex 该NPM组件的 lib/winston-loggerex/logger.js 文件被植入恶意代码其主要功能是一个基于时间门控的远程代码执行后门。在特定日期2025-10-13 06:30:00 GMT之后攻击者投放在Google 云盘上https://docs.google.com/uc?exportdownloadid1prQlXmreHK0Q-6I7t01kDbCmrswma54W的远程后门代码才被允许下载后门代码最终经过base64解码后通过 new Function 接口动态加载执行。winston-loggerex主页远程后门代码动态执行04供应链投毒治理建议Governance Advice4.1 多模态SCA审查针对日趋隐蔽的数字供应链投毒攻击传统单一源码扫描已无法满足安全防护需求亟需引入支持“源码 - 二进制 - 运行时” 全链路场景的多模态 SCA 检测能力构建投毒攻击深层防御体系不仅可深度解析检测源代码、二进制文件、容器镜像等常规资产还能覆盖Agentic AI生态热点资产如模型权重文件、数据集、MCP 和 SKILL等。结合源鉴SCA 的技术实践唯有建立跨越开发态、交付态与运行态的供应链投毒综合审查机制才能为企业构建起一道覆盖全技术栈的供应链安全防线。4.2 全生命周期SBOM管理软件物料清单SBOM是治理供应链投毒的基石但静态清单无法应对动态威胁。只有通过构建、测试、部署等各个环节实时采集并更新 SBOM 数据才能够建立一份动态、透明的数字供应链资产清单。通过深度联动供应链投毒情报基于全生命周期SBOM管理驱动的检测方案在应对投毒攻击时能够迅速精准响应并且可通过最新SBOM拓扑图和关键 IOC进行全局溯源秒级定位受影响的业务资产与代码路径极大缩短投毒事件的应急响应窗口同时依托全生命周期SBOM可持续监控数字资产的数据完整性确保业务资产始终处于可控、可信状态。4.3 联动供应链投毒情报预警接入第三方权威数字供应链情报源如悬镜云脉XSBOM供应链情报订阅服务整合权威漏洞情报库及第三方专业投毒情报源构建“情报—SBOM—DevSecOps”三位一体联动机制将供应链安全情报深度融入DevSecOps敏捷安全全阶段构建全流程积极防御体系。在开发阶段将情报接入开发环境实现实时预警恶意开源组件及投毒依赖从源头规范依赖引入在编译阶段在 CI/CD 流水线集成SBOM生成与依赖图谱分析通过联动投毒情报库扫描深层嵌套依赖、容器镜像等制品精准识别投毒组件阻断带毒产物进入构建流程在运行阶段依托投毒情报IoC与行为基线模型动态监测异常外联、数据窃取等投毒后门行为提供运行时投毒风险预警。4.4 AI原生安全治理AI 原生安全治理需覆盖“供应链资产安全”与“运行时动态防御”双主线。供应链资产层面针对开源组件、模型、数据集等核心资产建立全流程管控确保数据采集、训练阶段过滤有毒数据模型发布优先选择安全的文件存储格式如huggingface safetensors模型加载前需进行安全扫描避免加载内嵌恶意代码的模型文件此外还需构建AI原生安全开发流水线在代码提交、PR合并、CI构建、插件/工具引入等环节嵌入AI模型驱动的原生安全审查流程实时检测传统代码投毒及恶意指令。运行时防御层面聚焦提示词注入、外部工具恶意行为等场景实施部署环境隔离与权限最小化防范运行时恶意代码执行及敏感数据外泄。05 总结与展望年度报告Annual Report2025年开源供应链生态中的恶意投毒攻击已进入高发期攻击态势进一步呈现多样化及目标范围扩大化等显著趋势。由于开源生态 “轻审核” 机制从主流公共仓库NPM、PyPI到AI模型托管平台及AI Agent生态市场投毒攻击的目标范围持续扩大攻击者使用的技术手法也越来越老练同时对抗手段也日趋复杂混淆保护绕过静态扫描、反调试、反沙箱检测、甚至利用LLM生成低特征投毒代码等现象将成常态。对于防御端应构建从开发到部署的纵深防御体系通过接入供应链投毒情报与可信验证机制实现“安全情报前置、全链路阻断”的防护方案。在此背景下SBOM软件物料清单不再仅是合规备案的静态清单而是成为供应链投毒治理的核心数据资产。结合数字供应链安全管理平台作为治理中枢将企业内外部的SBOM资产统一纳管并与实时接入的供应链安全情报流进行自动化关联与威胁匹配使平台可迅速内对SBOM执行溯源匹配精准定位受影响的应用、容器镜像及运行时实例。在组件引入、构建打包及制品部署阶段实现“情报驱动SBOM”的治理能力。由此SBOM从离散的软件物料资产台账升维为与供应链安全情报共生演进投毒治理也从被动排查升级为体系化、自动化、精准化的积极免疫响应。攻以守本为快不破AI智能时代全球开源软件供应链攻击正加速向Agentic AI生态纵深演进呈现“传统包管理器AI原生载体”双轨渗透趋势唯有构建基于“AI原生安全 DevSecOps敏捷安全多模态SCA开源供应链情报预警”技术的新一代数字供应链安全治理体系从源头治理大模型开发、训练、部署到智能体运营等关键环节面临的AI原生安全风险帮助企业用户构筑一套从传统软件供应链到AI原生供应链全生命周期的内生安全治理体系方能从根源上持续守护好新一代数字供应链安全。
