OpenClaw—AI研究安全研究人员在GitHub平台上发现了一起大规模的供应链攻击活动,代号Megalodon。截至目前,已有超过5500个代码仓库受到影响,涉及数百万开发者。此次攻击活动波及范围之广、影响人数之多,堪称近年来最严重的开源生态安全事件之一,引起了全球开发者的广泛关注。安全形势令人担忧,整个开源社区需要迅速应对。
攻击者通过在热门开源包的构建脚本中植入恶意代码,当开发者执行npm install或pip install时,恶意程序便会自动下载并执行。这是一种典型的供应链攻击方式,攻击者利用开发者对开源生态的信任,将恶意代码层层伪装在正常依赖中,极难被发现。恶意代码会悄悄收集系统中的敏感信息并发送到远程服务器,整个过程不留痕迹。
受影响仓库主要包括JavaScript和Python生态中的多个流行工具库。安全研究人员发现,恶意代码会窃取开发者环境变量中的敏感信息,包括API密钥、数据库凭证和SSH私钥等。更令人担忧的是,部分受污染的包已经被企业项目间接引入,实际影响范围可能远超初步统计,部分金融机构和科技公司已受到影响。
GitHub安全团队已经介入调查,并开始清理受污染的仓库包。安全专家建议开发者立即检查项目依赖,执行npm audit和pip check命令进行自查,并轮换所有可能泄露的密钥信息。同时,使用依赖扫描工具对项目进行深度检测,确保没有引入问题包。建议企业级用户建立依赖安全审计流程,防患于未然。
此次事件再次暴露了开源供应链的脆弱性。企业在引入第三方依赖时,必须建立完善的审计机制,不能盲目相信热门就等于安全。建议有条件的团队建立私有依赖镜像,定期扫描已知漏洞,从源头降低被攻击的风险。同时,开发者社区也在呼吁加强开源包的安全审核机制,共同维护开源生态的安全。
