軟體供應鏈攻擊(Software Supply Chain Attack)

攻擊者透過污染第三方套件、函式庫或開發工具,間接感染下游用戶或組織。

2026年5月 Mini Shai-Hulud 事件

2026年5月 CISA KEV 供應鏈攻擊收錄

CISA 2026-05-27 罕見地將三個供應鏈攻擊事件作為 KEV 漏洞強制聯邦機構修補:

常見攻擊向量

  • NPM / PyPI / RubyGems 套件倉庫投毒
  • CI/CD 流水線入侵
  • 程式碼簽署憑證竊取
  • 開源專案維護者帳號接管

防禦建議

  1. 鎖定套件版本(lock files)
  2. 使用套件完整性驗證(hash、SRI)
  3. 監控套件異常更新
  4. 最小化CI/CD權限

來源文章

相關頁面