当最受信任的开源工具变成最危险的攻击入口，国务院新规4月7日生效，强制企业建立供应链安全防线

引言

2026年第一季度，开源软件供应链安全领域接连拉响警报。3月24日，月下载量超过9500万次的开源AI API网关LiteLLM被植入后门，波及全球数千家企业；不到一个月内，API协作平台Apifox的桌面客户端被投毒，恶意代码可窃取凭证并远程执行命令；全球下载量超30亿次的JavaScript HTTP客户端axios也未能幸免，两个npm版本被植入远程控制木马。

就在这个敏感的时间窗口，2026年4月7日，《国务院关于产业链供应链安全的规定》正式生效。这部从立法层面规范供应链安全管理的行政法规，将“关键领域产业链供应链安全风险监测预警制度”和“安全应急管理制度”纳入法制化轨道。

一、2026年Q1供应链投毒事件全景扫描

1.1 LiteLLM：一次“三级跳”的连锁攻击

2026年3月24日，一场精心策划的供应链投毒攻击降临在LiteLLM身上——这款月下载量超过9500万次的开源项目，在短短数小时内成为黑客窃取企业核心机密的利器。

LiteLLM是一个开源的AI API网关，作为支撑数千家企业AI架构的关键工具，支持开发者通过统一的格式调用OpenAI、Anthropic、Azure等100多家服务商的API。根据Wiz Research的估算，约有36%的云环境中存在该软件包。攻击者通过入侵维护者账户，在PyPI官方仓库发布了两个带有后门的版本（1.82.7和1.82.8），携带了复杂的“三阶段”攻击负载：凭据收集→K8s横向移动→持久后门植入。

1.82.8版本更具隐蔽性——攻击者利用了Python的.pth配置文件特性。由于Python解释器在启动时会自动处理此类文件，这意味着恶意软件会在任何Python调用时触发，用户无需手动导入任何模块或进行交互，环境即会被完全感染。被窃取的数据范围极广，涵盖了SSH密钥、AWS和GCP云凭据、Kubernetes机密、加密货币钱包以及CI/CD令牌等。LiteLLM本身就是API密钥管理网关，黑客精准打击了这一掌握各类资源“钥匙”的核心节点。所有外传数据在发送前都经过了AES-256-CBC和RSA-4096的高强度加密，常规流量检测手段难以识别。

但LiteLLM事件最值得关注的地方，不是它“多厉害”，而是它是如何一步步沦陷的。

1.2 从Trivy到LiteLLM：漏洞的“连锁反应”

在2026年短短几个月的安全事件中，至少四起重大软件供应链攻击被披露：Trivy、LiteLLM、Telnyx和axios。它们并非孤立的恶意行为，而是被一条共同的攻击逻辑串联起来。

攻击者并没有创建虚假的恶意软件包，而是通过不正当手段获取了对已受信任项目或维护者账户的访问权限，并将恶意代码注入到官方发布的版本中。攻击的起点是Trivy。2026年3月中旬，TeamPCP黑客组织利用一个配置不当的GitHub Actions工作流，窃取了CI/CD流水线密钥，随后发布了Trivy的恶意版本（v0.69.4），并向超过60个npm软件包注入了恶意代码，这一漏洞已被正式分配CVE-2026-33634并列入CISA的已知利用漏洞目录。

接着是Checkmarx的KICS GitHub Action。攻击者在3月23日将多个标签强制推送至恶意提交，导致固定在这些标签上的工作流执行了rogue的setup.sh负载，恶意软件被设计用于窃取密钥、外传窃取数据。

链条的末端是LiteLLM。由于LiteLLM的构建流水线在未固定版本的情况下运行了已被入侵的Trivy工具，那些被盗的凭证就成了攻破LiteLLM PyPI发布账户的钥匙。攻击者成功推送了两个带毒版本。这种“层叠式”攻击的可怕之处在于：攻击者并不需要一次性攻克最终目标，只需在链条中找到最薄弱的一环。

1.3 Apifox与axios：攻击工具的进一步扩散

LiteLLM只是2026年供应链投毒事件的冰山一角。4月2日，安全研究员Charlie Eriksen公开发现了一个利用GitHub的pull_request_target工作流触发器的自动化攻击活动，攻击者在短短26小时内发起了超过475个恶意PR请求。Wiz Research追溯后发现，该攻击活动从3月11日就已开始，共六波，累计超过500个恶意PR，成功攻陷了至少两个npm软件包。

API协作平台Apifox公网SaaS版桌面客户端也遭遇供应链投毒。恶意软件本质上是一个远程代码执行平台，攻击者基于回传的信息筛选高价值目标并实施定制化攻击，整个攻击模式逐步向APT化演进。axios的两个npm版本axios@1.14.1、axios@0.30.4被恶意植入远程控制代码，axios出现在约80%的云环境中，影响范围可想而知。

1.4 损失规模：20万开发者、千家企业中招

综合各方通报，本轮供应链投毒潮已波及超过20万名开发者、上千家企业。AI招聘初创公司Mercor已公开承认成为LiteLLM供应链攻击的受害者之一，其源代码等敏感数据被黑客窃取并挂牌出售。安全专家警告，被盗凭证若在后续攻击中被重复利用，其下游风险将非常严重，可能导致数据进一步泄露、服务中断或敏感数据被滥用。

二、本轮供应链攻击的三大特征

2.1 精准打击：从“广撒网”到“定向猎杀”

传统供应链攻击往往是“广撒网”式的批量感染，而本轮攻击表现出高度针对性。LiteLLM本身就是一个API密钥管理网关，黑客精准打击了这一掌握各类资源“钥匙”的核心节点。Apifox投毒事件中，恶意软件基于回传的信息筛选高价值目标，攻击模式逐步向APT化演进。

2.2 连锁反应：单点沦陷引发多米诺骨牌效应

TeamPCP组织对Trivy的入侵直接导致了LiteLLM的沦陷，而这又可能进一步扩散到依赖LiteLLM的数以万计的下游项目。SonarSource的分析指出，最危险的供应链攻击不是随机的，而是刻意设计的“层叠式”（cascade）攻击。它们遵循一种利用大多数软件开发团队运作方式的逻辑：先找一个供应链中的薄弱环节——一个配置不当的CI/CD工作流、一个被忽视的维护者账户，然后利用这个据点去攻击更大的目标，最后让恶意软件包看起来完全正常。

2.3 隐蔽性强：功能正常但内藏杀机

这些恶意版本的共同特点是：它们看起来完全正常。被植入后门的LiteLLM版本仍然可以正常调用API，被投毒的Trivy仍然可以运行扫描，axios仍然可以发送HTTP请求。SonarSource的分析点出了一个根本问题：大多数团队评估依赖的方式——只检查软件是否能正常工作——是功能正常性与软件安全性之间的致命缺口。只要恶意代码不妨碍正常功能，它就能长期潜伏。

三、政策响应：国务院《产业链供应链安全规定》4月7日生效

3.1 立法背景与核心框架

2026年3月31日，国务院总理李强签署第834号国务院令，公布《国务院关于产业链供应链安全的规定》，自公布之日起施行。该规定已于3月13日经国务院第81次常务会议通过。

规定明确立法目的是“为了防范产业链供应链安全风险，提升产业链供应链韧性和安全水平，维护经济社会稳定和国家安全”。在法律依据上，规定整合了《中华人民共和国国家安全法》《中华人民共和国对外关系法》《中华人民共和国反外国制裁法》《中华人民共和国对外贸易法》等多部法律。

3.2 六大制度体系

规定构建了覆盖“监测预警—风险防范—应急管理—信息共享—关键领域保障—对外反制”的完整制度框架。值得关注的条款包括：

• 关键领域清单制度：国务院有关部门制定关键领域清单并实行动态调整，维护关键领域的原材料、技术、设备、产品等的生产与流通稳定、持续运行（第七条）。

• 风险监测预警制度：国务院有关部门组织开展评估监测，识别产业链供应链安全风险，及时发布预警信息（第九条）。

• 安全应急管理制度：国务院有关部门制定应急工作预案。出现影响关键领域产业链供应链安全情形的，可以采取紧急调度、动用储备以及组织生产、运输、供应等应急处置措施（第十一条）。

• 数据安全与信息共享：推动关键领域产业链供应链信息共享，采取有效措施保障数据安全（第八条）。

• 对外反制机制：外国国家、地区和国际组织违反国际法和国际关系基本准则，在产业链供应链方面对我国采取歧视性禁止、限制或者其他类似措施的，国务院有关部门有权开展产业链供应链安全调查，并可以采取相应措施（第十四条）。

• 企业主体责任：企业、科研机构等应当完善风险防控体系，实现核心技术及相关信息系统、数据的安全可控（第十二条）。

3.3 时效性解读

规定自2026年4月7日起施行，这意味着从该日起，相关企业必须将供应链安全管理纳入合规体系。对于在软件开发中使用开源组件、依赖第三方工具链的企业而言，建立SBOM（软件物料清单）管理、实施依赖项安全监测、落实应急响应机制，已经成为法定义务而非可选项。

四、行业现状：从数据看供应链安全危机

奇安信代码安全实验室发布的《2025中国软件供应链安全分析报告》揭示了一个不容乐观的现实。报告显示，与历年相比，2024年国内企业自主开发的软件项目源代码整体缺陷密度持续升高，达到了13.26个/千行，软件项目存在老旧开源软件漏洞的状况没有改善，多个项目中依然存在20年前的开源软件漏洞。

全球范围内，RapidFort的报告指出，2026年第一季度已披露了四起重大软件供应链攻击，涉及Trivy、LiteLLM、Telnyx和axios。攻击者在所有案例中的行为模式惊人地一致：通过未经授权的访问获得受信任项目的控制权，然后将恶意代码注入官方版本，利用与团队日常使用的相同注册表、GitHub发布渠道和CI/CD集成来分发恶意版本。

SonarSource将2026年3月描述为“对开源信任来说是残酷的一个月”，并发出警告：企业的攻击面现在包括每一个被导入的依赖项、每一个暴露的流水线密钥，以及软件开发人员信任的每一个AI工具。

五、企业应对指南

5.1 应急响应清单

对于已经使用过受影响版本的企业，应立即执行以下措施：

排查确认：

• 在网络侧检查是否出现对apifox.it.com、models.litellm.cloud等异常域名的访问记录

• 在终端侧排查litellm_init.pth、/tmp/ld.py等恶意留存痕迹

清除感染：

• Apifox客户端升级至2.8.19或以上版本，从官网下载覆盖安装

• LiteLLM降级至安全版本1.82.6，锁定依赖版本

• axios退回至安全版本（1.14.0-1.x分支或0.30.3-0.x分支）

• 在防火墙、企业DNS或本机hosts中封锁已知恶意域名

凭证轮换：

• 立即重置SSH私钥、Git凭证、云服务AccessKey、K8s集群配置等所有可能泄露的凭证

5.2 长期治理路径

深信服千里目安全技术中心指出，供应链安全风险具有系统性、长期性和复杂性等特点，仅靠一次临时性、事件驱动的应急响应难以构建持久的韧性。企业和开发者必须将供应链安全纳入与功能开发同等优先级的体系化建设中，实现从“被动修复”到“主动治理”的根本转变。

从制度层面，应将安全管理融入研发流程，通过开发工具沙箱化运行、凭据动态轮换机制、供应链SBOM管理等举措，形成常态化的安全治理体系。从技术层面，应主动运营监测风险、强化主动防御能力，同时警惕AI工具带来的新型供应链风险——例如隐藏在助手配置文件中的Unicode指令可以悄无声息地后门AI生成的代码。

六、结语

从LiteLLM到Apifox，从axios到Trivy，2026年第一季度的供应链投毒潮揭示了一个正在加速形成的趋势：软件供应链安全已从“技术问题”上升为“国家安全问题”。

国务院新规的适时出台，为中国产业链供应链安全提供了法律层面的顶层设计。但对于每一个开发者、每一家技术企业来说，真正考验的时刻在于——当“你信任的工具”不再值得信任时，你的安全防线准备好了吗？

参考资料：

• 深信服千里目安全技术中心：AI时代供应链投毒安全报告，2026年4月

• IT之家：月安装量约9500万次的API网关LiteLLM遭投毒报道，2026年3月

• Wiz Research：prt-scan供应链攻击分析报告，2026年4月

• RapidFort：PyPI、npm与软件供应链攻击新前沿，2026年4月

• SonarSource：软件供应链攻击面扩展分析，2026年4月

• Aqua Security：Trivy供应链攻击披露，2026年3月

• Catonetworks：TeamPCP供应链攻击技术分析，2026年3月

• 国务院令第834号：《国务院关于产业链供应链安全的规定》，2026年4月

• 奇安信：《2025中国软件供应链安全分析报告》

本文为原创技术分析，转载需注明出处。欢迎在评论区分享你的供应链安全治理经验。