軟體供應鏈攻擊(Software Supply Chain Attack)
攻擊者透過污染第三方套件、函式庫或開發工具,間接感染下游用戶或組織。
2026年5月 Mini Shai-Hulud 事件
- 攻擊向量:污染 TanStack NPM 套件
- 受害者:openai 兩名員工裝置
- 影響:員工不慎安裝含惡意程式碼的套件,OpenAI啟動緊急應變
常見攻擊向量
- NPM / PyPI / RubyGems 套件倉庫投毒
- CI/CD 流水線入侵
- 程式碼簽署憑證竊取
- 開源專案維護者帳號接管
防禦建議
- 鎖定套件版本(lock files)
- 使用套件完整性驗證(hash、SRI)
- 監控套件異常更新
- 最小化CI/CD權限
相關頁面
- openai — 2026年5月受害案例
- npm-security — NPM安全機制