軟體供應鏈攻擊(Software Supply Chain Attack)
攻擊者透過污染第三方套件、函式庫或開發工具,間接感染下游用戶或組織。
2026年5月 Mini Shai-Hulud 事件
- 攻擊向量:污染 TanStack NPM 套件 → Nx Console貢獻者環境 → 惡意Nx Console 18.95.0 VS Code擴充套件
- 受害者:GitHub(近3,800個內部儲存庫)、OpenAI、Mistral AI、UiPath
- 蠕蟲:Mini Shai-Hulud,竊取GitHub Token、AWS金鑰、SSH私鑰、Kubernetes設定、1Password CLI Session
- 詳見:Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩
- 2026-05-19 擴大:滲透 AntV NPM 生態系統,上架639個惡意套件,影響323個套件
- 詳見:TeamPCP滲透AntV NPM生態系統Mini Shai-Hulud供應鏈攻擊
2026年5月 CISA KEV 供應鏈攻擊收錄
CISA 2026-05-27 罕見地將三個供應鏈攻擊事件作為 KEV 漏洞強制聯邦機構修補:
- CVE-2026-8398(Daemon Tools Lite):合法簽章安裝檔遭竄改,截止日 2026-05-30
- CVE-2026-45321(TanStack Router NPM):GitHub Actions 流程遭入侵,截止日 2026-06-10
- CVE-2026-48027(Nx Console VS Code):TanStack 攻擊鏈衍生,截止日 2026-06-10
- 詳見:CISA要求聯邦機構對軟體供應鏈攻擊漏洞CVE-2026-8398等採取行動
常見攻擊向量
- NPM / PyPI / RubyGems 套件倉庫投毒
- CI/CD 流水線入侵
- 程式碼簽署憑證竊取
- 開源專案維護者帳號接管
防禦建議
- 鎖定套件版本(lock files)
- 使用套件完整性驗證(hash、SRI)
- 監控套件異常更新
- 最小化CI/CD權限
來源文章
相關頁面
- openai — 2026年5月受害案例
- npm-security — NPM安全機制