网络安全公司 StepSecurity 和 SafeDep 近日警告，一场针对全球开源项目的供应链攻击正在持续发酵。攻击者入侵了数十个广泛使用的开源软件包，旨在窃取凭证并向下级用户推送恶意更新。此次行动被研究人员命名为“小沙丘虫”，此前已有更大规模的类似攻击。 SafeDep 指出，黑客在约 20 分钟内控制了某开发者的账户，在 317 个软件包中发布了超过 630 个恶意版本。攻击的主要目标是盗取密码管理器等服务的访问凭证，以便窃取敏感数据并进一步扩大 malware 的传播范围。受影响的知名项目包括阿里巴巴旗下的 Antv 库。部分恶意更新甚至直接发布在代码托管平台 GitHub 上。 这一系列攻击是更大规模开源生态破坏行动的一部分。上周，攻击者通过入侵开源库 TanStack，成功攻陷了两名 OpenAI 员工的电脑，OpenAI 亦成为受害者之一。此类供应链攻击危害极大，不仅威胁单个开发者的安全，更可能波及所有依赖这些开源组件的下游用户。 专家强调，随着全球软件开发日益依赖开源代码，保护核心贡献者的账户安全及代码仓库的完整性显得尤为重要。此次“小沙丘虫”攻击揭示了开源生态在供应链层面的脆弱性，提醒开发者和企业需提高安全意识，加强对第三方依赖包的监控与验证，以防恶意代码植入。