攻击手法与特征 - 攻击者利用Unicode“私有使用区”字符，将恶意函数和载荷编码为肉眼不可见的字符，并选择性插入代码关键位置，使代码审查和静态分析工具难以察觉[7] - 恶意软件包在运行时，会通过一段小型解码程序将隐形字符还原为真实字节，并交由`eval()`函数执行完整的恶意载荷[7] - 攻击者向GitHub、NPM和Open VSX等目标仓库上传恶意软件包，在2026年3月3日至9日期间，仅在GitHub上就发现了151个此类恶意包[2][3] - 部分恶意软件包的下载量高达数千次，表明已有相当数量的开发者项目可能受到影响[5] - 恶意软件包中可见部分代码质量相当高，且恶意注入并未出现在明显可疑的提交中，周围的改动（如文档微调、版本号更新）在风格上与目标项目高度一致，使其更难被检测[10][11] 攻击规模与影响 - 此次发现的151个恶意软件包很可能只是攻击活动的冰山一角，许多恶意包在上传后已遭删除，实际规模可能远不止于此[14] - 攻击手法是对传统供应链攻击的升级，近十年来供应链攻击虽屡见不鲜，但此次利用隐形代码的方式令传统检测手段束手无策[2][4] - 解码后的恶意载荷会以Solana区块链为传输通道，拉取并执行第二阶段脚本，进而窃取token、凭证和各类密钥[9] 攻击背后的技术趋势与潜在威胁 - 研究人员怀疑，名为Glassworm的攻击组织正借助大语言模型批量生成这些以假乱真的软件包，因为以目前151个以上跨代码库定制化改动的规模来看，纯靠人工手动完成不现实[11] - 利用隐形Unicode字符输入隐藏恶意提示词的手法，最初在2024年被用于诱导AI引擎，虽然AI引擎此后设置了防护机制，但这类防御仍在不断被突破[11] - 如果大语言模型深度介入恶意包生成的猜测属实，恶意软件包将越来越难以被辨认，尤其是在隐形Unicode字符被用来隐藏恶意载荷的情况下[16] - 开源供应链安全面临严峻挑战，代码量一旦达到数十万行，人工通读审查已不现实，而攻击手法借助AI持续变异，提交量更可能直接将人工审查能力淹没[19] 行业应对与防范建议 - 目前防范供应链攻击最有效的方式，仍是在引入任何软件包及其依赖项之前认真审查，包括仔细核对包名、排查可能的拼写错误[15] - 有观点认为，需要将自动化Unicode规范化和同形字检测集成到每个CI流水线的依赖审查阶段，否则当大量“代码”不可见时，人工审查上万行代码将难如登天[17] - 建议GitHub等平台对字符串之外的所有非ASCII字符进行正则表达式处理，并在这些文件和仓库中添加警告[18] - 面对AI辅助生成的、难以辨认的恶意软件包，可能需要让安全AI来接管代码提交的审查工作[19]

事件概述 - 开源Python库LiteLLM的版本1.82.7和1.82.8被恶意植入信息窃取程序，构成供应链攻击[1][2] - 恶意版本在PyPI上存在约三小时后被官方发现并隔离，但期间已造成影响[4] - 该库的维护者Krrish Dholakia已公开证实此事[3] 事件影响与严重性 - LiteLLM是一个高人气开源库，每月下载量高达9700万次，GitHub拥有超4万星，是AI开发领域安装量最高的Python包之一[9] - 每天下载量约为340万次，许多设置了自动更新安装的程序员可能已受影响[4] - 攻击影响范围可能超出直接用户，例如OpenClaw等依赖该库的软件也会间接受到影响[6][7] - 社区对此反应迅速，知名人士Andrej Karpathy也出面提醒程序员警惕此次供应链攻击[5] 攻击技术细节 - 恶意版本中包含一个名为`litellm_init.pth`的文件，该文件会在Python进程启动时自动执行，无需用户主动调用库[9] - 恶意文件大小为34628字节，经过双重base64编码，其有效载荷负责窃取信息[12] - 攻击分为三个阶段：1) 收集SSH密钥、AWS/GCP/Azure凭证、Kubernetes配置、数据库密码等敏感数据及环境变量[13]；2) 使用硬编码的4096位RSA公钥和AES-256-CBC加密数据，打包后发送至攻击者控制的云端[15]；3) 若检测到Kubernetes服务帐户token，会尝试在所有节点创建特权Pod以安装持久化后门[17] - 版本1.82.7的恶意代码需用户运行LiteLLM时触发，而版本1.82.8则只需启动Python就会执行[19] 攻击溯源与方式 - 攻击源头是项目CI/CD管道中使用的安全工具Trivy的GitHub Action被篡改[18] - 攻击者通过污染的Trivy，先后攻击了Checkmarx KICS和Aqua Security的仓库，并最终窃取到了LiteLLM维护者的PyPI凭证[19] - 利用窃取的凭证，攻击者直接在PyPI上发布了两个恶意版本（1.82.7和1.82.8）[19] 用户应对与修复措施 - **检查版本**：通过命令`pip show litellm | grep Version`检查，若版本为1.82.7或1.82.8，或发现`litellm_init.pth`文件，则表明已受影响[21] - **移除与清理**：立即删除受影响版本，并清除包管理器缓存（如`rm -rf ~/.cache/uv`或`pip cache purge`）[22][23] - **Kubernetes环境检查**：审核`kube-system`命名空间中是否存在`node-setup-*`的Pod，并检查集群密钥[24] - **更换凭证**：所有可能泄露的凭证（如SSH、云服务API密钥等）必须全部更换[25] - **版本锁定**：未安装恶意版本的用户应暂时将LiteLLM锁定在1.82.6版本，等待安全的新版本发布[26] 行业趋势与反思 - 针对开发工具和自动化流水线的供应链攻击正呈现规模化和常态化趋势，Trivy、KICS、LiteLLM等高权限工具成为重点目标[27] - 此类工具设计上拥有广泛读取权限，一旦被入侵，数据泄露规模远超一般应用程序[28] - 供应链攻击的影响具有传递性，即使未直接安装恶意程序，只要依赖链中的底层工具受影响，用户也会被波及[29] - 大型项目因依赖项众多，面临的风险极高，而开发者通常对深层依赖的安全性检查和版本更新警惕性不足[30] - 行业专家指出，过度依赖外部库存在风险，建议重新评估依赖关系，或在可行的情况下减少依赖，甚至将源代码保留在自己的库中[31][33] - 有观点认为，未来类似的供应链攻击将成为新常态，开发工具的供应链安全亟待加强[35] - 此次事件能快速被发现具有一定偶然性，如果攻击者代码更隐蔽，可能悄无声息地运行数天甚至数周，影响数百万台机器[36][37]

事件概述 - 这是一起针对Python库LiteLLM的教科书级软件供应链攻击事件，影响广泛[1][5] - 恶意版本通过被窃取的PyPI发布令牌直接上传至PyPI，绕过了代码审查，官方GitHub仓库本身保持干净[19] 受影响范围与严重性 - 受攻击的Python库LiteLLM在GitHub上拥有超过4万星，月下载量达9700万次[2] - 恶意代码存在于版本号1.82.7和1.82.8中，目前已被撤回，PyPI隔离措施已解除[3][4] - 影响范围不仅限于LiteLLM本身，还包括所有以LiteLLM为基础依赖的其他项目和软件包[7] - 简单的`pip install litellm`即可导致SSH密钥、云服务凭证、API密钥、数据库密码等大量敏感信息被窃取[6] 攻击技术细节 - 攻击负载分为三个阶段运行：信息搜刮、数据外传、横向移动与持久化[9][10][17] - 信息搜刮阶段：脚本会搜刮主机中的SSH私钥、.env文件、云服务凭证、Kubernetes配置、数据库密码、git配置、shell历史记录、加密货币钱包文件等[9] - 数据外传阶段：收集的数据使用4096位RSA公钥和AES-256-CBC模式加密，通过POST请求发送至非官方的`models.litellm.cloud`域名[10] - 横向移动与持久化阶段：若存在Kubernetes服务账户令牌，会尝试读取集群机密并创建特权Pod；同时会在本地和宿主机文件系统植入持久化后门[17] 事件发现过程 - 恶意版本因攻击代码中的bug而被发现，该bug导致了一个指数级分叉炸弹，使机器因内存爆炸而崩溃[13][14] - 开发者Callum McMahon在Cursor内部运行的MCP插件将此包作为传递依赖项拉取时发现了此问题[14] - 有观点认为，如果攻击者编程能力更强，可能几周都不会有人注意到此次攻击[15] - 据称恶意代码的开发者采用了AI编码导致出现Bug，有开发者表示“vibe coding”在此次事件中起到了积极作用[16] 行业反应与专家观点 - 该事件引发了马斯克（Elon Musk）的关注，其用“Caveat emptor”提醒大家注意风险[12] - 英伟达机器人部门总监Jim Fan表达了关切，认为过去的身份盗窃与代理能做的事相比不值一提[18] - Jim Fan与Karpathy观点一致，认为人们很少需要LiteLLM支持的所有API，建议根据需求构建自定义功能软件[19] - Karpathy更倾向于在功能足够简单且可行的情况下，利用LLM把功能“薅”过来自己实现一遍[19] - Sebastian Raschka发现此次攻击与数年前的ctx包事件非常相似[21] 风险规避建议 - Sebastian Raschka提出的规避风险最佳路径包括：从可信源获取源代码快照、进行深度安全审计、将审计过的源代码直接整合进自己的库中[21] - 根据FutureSearch提示，建议开发者检查是否在2026年3月24日或之后安装或升级了LiteLLM至版本1.82.8[21] - 若受影响，需从所有环境中删除LiteLLM 1.82.8，并清理包管理器缓存[22] - 必须检查是否存在持久化痕迹文件，并假设受影响机器上的所有凭证都已泄露，立即轮换SSH密钥、云服务商凭证、API密钥、数据库密码等[22]

全球APT攻击态势与主要特征 - 2025年全球网络安全厂商累计发布APT报告700多篇，涉及APT组织140个，其中首次披露的组织有42个，较2024年同期有所增加 [2] - APT攻击活动聚焦地区政治、经济等时事热点，目标集中分布于政府机构、国防军工、信息技术、金融、教育等十几个重点行业 [2] 针对中国的网络攻击活动 - 2025年北美地区APT组织对中国的攻击呈现“国家级统筹、定向关键基础设施、战术隐蔽化”的核心特征 [4] - 北美APT组织在2025年年初针对中国智慧能源和数字信息大型高科技企业展开攻击，意图窃取核心技术与商业机密 [4] - 2月，以APT-C-40（NSA）组织为核心，联合美国高校作为“学术掩护体”，针对中国亚冬会相关服务及黑龙江地区关键基础设施展开攻击 [4] - 10月，中国国家安全机关披露了APT-C-40（NSA）组织对中国国家授时中心实施的重大网络攻击活动 [4] - 在台海方向，民进党当局支持的多个黑客组织长期针对中国政府机构、科研单位、高等院校、国防科技企业等实施网络间谍活动 [5] - 已被曝光的APT-C-01（毒云藤）、APT-C-67（乌苏拉）等组织持续窃取政策、军工、经济敏感数据 [5] - APT-C-64（匿名者64）试图通过攻击数字媒体破坏社会秩序，将网络攻击转化为政治工具 [5] 攻击技术演进：0day漏洞与供应链攻击 - 2025年APT组织在攻击中利用的0day漏洞数量较2024年有所增加，针对中国境内网络设施的0day攻击上升明显 [6] - 全球APT组织在2025年利用的影响较大的0day漏洞共计42个，涉及iOS、Windows、Android、Chrome以及VMware等多个平台 [6] - 针对iOS系统的“PAC绕过漏洞”（CVE-2025-31201）影响面较大，已被用于针对特定iOS用户发起攻击 [6] - 2025年APT组织攻击的另一个特点是利用“开源代码仓库”方式进行供应链攻击 [7] - APT组织在代码仓库中构建含有后门的恶意软件项目和软件包，诱导开发人员引用，实现供应链投毒 [7] - 攻击者还入侵开发者主机，使用攻击武器自动感染开发者维护的软件包，然后强制发布补丁，产生级联感染效应 [7] 未来威胁趋势：地缘冲突与攻击武器 - 报告警告，在地缘政治冲突中，国家级APT攻击必将延伸至军事、通信、电力、能源等国计民生核心行业 [9] - “擦除器”类攻击武器意图永久破坏目标系统数据，使其丧失可用性，攻击过程快速、彻底、隐蔽 [9] - 勒索攻击是破坏基础设施的重要手段，其核心目标是数据劫持以获取赎金 [10] - 在APT组织开展的勒索攻击中，往往有更为隐晦的攻击目的，如掩盖真实意图或干扰事件归因 [10] - 随着“窃密+加密”的双重勒索模式增多，黑灰产攻击者在数据劫持成功后将被劫持系统售卖给APT组织的商业转让将会更多发生 [10] - APT组织日益倾向于开发跨平台攻击武器，以覆盖多种终端，对传统单点防御体系构成严峻挑战 [11] AI驱动的网络攻击新范式 - AI应用显著提升了APT组织在社会工程学调研和攻击的效率，使其能够快速构造跨语言、跨文化、跨行业的精准诱饵 [12] - 2025年，攻击者使用AI技术结合钓鱼攻击，已从早期的“广撒网”式诈骗，进化为针对性极强的“精准制导”型攻击 [12] - APT-C-26（Lazarus）组织的虚假面试攻击利用AI的深度伪造技术进行钓鱼 [12] - 预计2026年深度伪造诈骗将常态化，利用视频会议诈骗、高管语音/视频指令欺诈成功率将会激增 [12] - 攻击者可以将多年积累的攻击手法、渗透经验、漏洞利用技巧等用于训练大模型，打造出“攻击者智能体”，自动完成攻击任务 [13] - 攻击者智能体易于批量复制，一个人类攻击者可以管理几十个甚至上百个攻击者智能体，加剧网络攻防的不对称性 [13]

文章核心观点 - 世界经济论坛警告，网络欺诈已升级为数字经济时代最具颠覆性的力量之一，成为全球数字经济的最大威胁，其影响跨越国界、渗透各行各业 [3] - 报告呼吁需要多层次、多方位的协同应对，构建“弹性数字未来”，并借鉴气候变化《巴黎协定》模式建立“全球数字安全契约” [4] AI与网络欺诈手段演进 - 网络欺诈已从随机攻击转向精准打击，犯罪组织利用人工智能分析海量数据，精确识别潜在受害者并定制个性化诈骗方案，成功率大幅提高 [3] - 在东南亚，犯罪集团利用深度伪造技术模仿某跨国公司CEO的声音和面容，成功欺骗其亚洲区财务总监转账4700万美元 [3] - 2025年上半年，巴西数字支付欺诈案件同比增加187% [3] - 报告强调了供应链攻击的蔓延趋势，2025年一家欧洲中型软件公司的安全漏洞被利用，导致其全球200多个客户遭受数据泄露 [3] 国际共识与合作挑战 - 欧盟正在推动建立“数字单一市场安全框架”，试图协调27个成员国的网络安全政策 [3] - 东盟网络安全协调委员会通过了《数字信任行动计划》，旨在建立区域性威胁信息共享平台 [4] - 非洲联盟推出“非洲数字安全倡议”，目标是在2027年前为所有成员国建立基本的网络安全体系，目前许多非洲国家的网络安全预算不到国防预算的1% [4] - 国际合作面临障碍，包括俄罗斯与西方国家在网络空间的对峙，以及对“网络主权”的理解存在根本分歧 [4] - 不同国家对网络犯罪的定义、处罚和管辖权存在显著差异，阻碍了跨国追捕 [4] 多方位协同应对框架 - 技术层面，量子加密和区块链等新兴技术被寄予厚望，以色列一家网络安全初创公司开发了能够实时检测异常行为并自动隔离受感染部分的“自我修复网络”系统 [4] - 政策协调方面，七国集团正在讨论制定适用于软件和数字服务的“数字产品安全基准标准” [4] - 能力建设方面，联合国训练研究所的“数字安全能力建设项目”已在15个国家培训2000余名网络安全专业人员 [4]

事件概述 - Trust Wallet 浏览器扩展 v2.68 版本发生安全事件，影响在 12 月 24 日至 26 日期间登录该版本的用户 [1] - 公司确认有 2,520 个钱包地址受到影响，攻击者盗取的资产总额约为 850 万美元 [1] - 被盗资金可关联至 17 个由攻击者控制的钱包地址 [1] 事件原因与背景 - 初步调查显示，该事件可能与 2025 年 11 月发生的行业级供应链攻击 Sha1-Hulud 有关 [1] - 攻击者利用泄露的 Chrome Web Store API Key 发布了恶意版本 [1]

事件概述 - 网络安全巨头CrowdStrike发生一起内部员工泄密事件，一名员工将内部系统电脑屏幕截图以25,000美元的价格出售给外部黑客组织，导致敏感信息泄露 [1] - 该事件最初被黑客组织包装为一次成功的供应链攻击，但后续调查证实为内部人员所为 [5][13] - CrowdStrike公司已解雇该员工，并将案件移交执法机构，公司确认其系统未被入侵，客户数据安全 [2][17] 事件经过与细节 - 黑客组织Scattered Lapsus$ Hunters在Telegram频道上发布了据称是CrowdStrike内部环境的截图，内容包括内部仪表盘和员工单点登录面板链接 [5][7] - 该黑客组织声称通过第三方供应商Gainsight渗透进入系统，将其包装为供应链攻击 [8] - 实际原因为CrowdStrike内部调查发现一名员工行为异常，证实其私下将电脑屏幕截图发送给了黑客 [14] - 黑客向该员工支付了约25,000美元，以换取对CrowdStrike网络的访问权限，并获得了可绕过认证的单点登录认证Cookie [15][16] - CrowdStrike的内部安全监控系统侦测到异常并立即断开了该员工的网络访问，阻止了更严重的入侵 [17] - 黑客还试图向该员工购买CrowdStrike针对其他黑客团伙的威胁情报报告，但未成功 [19][20] 涉事黑客组织背景 - 黑客组织Scattered Lapsus$ Hunters由原ShinyHunters、Scattered Spider和Lapsus$等组织联合而成，近年来频繁出现在企业安全事件中 [9] - 今年初，该组织宣称对捷豹路虎的大规模网络攻击负责，利用泄露的微软Azure凭证盗走超过1.6TB数据，导致捷豹路虎关键IT系统关闭、生产线停摆近四周，造成约1.96亿英镑（约2.2亿美元）的季度损失 [10] - 上周，该组织又声称窃取了200多家托管在Salesforce上的公司数据，Salesforce确认部分客户数据被盗，攻击入口是Gainsight发布的应用程序，受影响企业名单包括LinkedIn、GitLab、Atlassian等知名公司 [10] 行业影响与内部威胁分析 - 该事件凸显了内部威胁是组织面临的最昂贵、最棘手的网络安全威胁之一，内部人员利用信任和授权访问，使得检测与补救变得困难 [22] - 安全专家指出，要彻底防范此类内部事件几乎不可能，因为内部人员拥有合法凭证且了解内部系统 [22] - 近年来内部员工“背叛”事件频发，例如2021年一名被裁程序员黑进前东家系统，造成高达86.2万美元的损失 [24] 应对内部威胁的建议 - 建议采用分层防御策略，技术层面包括行为分析工具、数据防泄漏工具以及对敏感数据和网络活动的实时监控 [22] - 应强制实施严格的访问控制，包括最小权限原则、多因素认证以及定期的权限审查 [23] - 可进一步采用动态水印、屏幕截图阻止等技术来震慑和追踪泄密源，自适应防护技术可在检测到异常时自动撤销访问权限 [23] - 内部风险管理需要一个整体、主动的策略，不仅是技术问题，也涉及“人”的问题，需制定清晰的政策和处罚机制，并在招聘环节进行背景调查 [23]