开源供应链漏洞敲响警钟

开源供应链漏洞是一项基于文章证据、对象上下文、事件链接和关系上下文的公开记录。

2026 年 2 月初，网络安全研究人员发现，一个与中国有关联的网络间谍组织通过劫持流行开源编辑器的更新机制，发动了一次供应链攻击。该事件揭示了开源软件治理中的系统性漏洞，可能对全球企业和关键系统产生影响。事件回放：受信任的代码遭污染 2026 年 2 月初，网络安全研究人员发现，一次供应链攻击通过破坏更新过程，针对了一款流行的开源编码应用程序。恶意软件通过合法的更新机制传播，使得一个被称为 Lotus Blossom 的中国关联网络间谍组织在 2025 年 6 月至 9 月期间，向选定的用户系统植入自定义后门。代码编辑器 Notepad++ 的开发者证实，攻击者获取了用于发布软件更新的服务器基础设施访问权限，并将部分流量重定向至恶意域名，以分发被污染的更新。尽管受影响用户的总数尚不清楚，但攻击的选择性（避免广泛分发）表明其采用了蓄意的定向攻击策略。对此事件进行分析的安全公司 Rapid7 指出，该后门可实现对受感染机器的交互式控制，可能导致数据窃取并在受害环境中横向移动。其基础设施被用于此次攻击的主机提供商 Hostinger 正与 Notepad++ 合作，调查并修复该漏洞。另请阅读：谷歌“Big Sleep”AI 发现 5 个开源网络威胁 另请阅读：供应链攻击暴露开源软件生态系统的脆弱性 为何重要

该事件表明，软件供应链攻击（攻击者在原本受信任的组件中插入恶意代码）已成为全球数字经济面临的系统性风险。现代软件开发高度依赖开源库、框架和工具；大多数应用程序都包含来自公共仓库的组件。与针对单个服务器的定向攻击不同，供应链攻击利用了对自动化更新和依赖工作流的信任，这意味着单次突破就可能无声地影响成千上万的开发者和企业。安全专家警告称，快速开发所必需的自动化与规模化也扩大了此类攻击的爆炸半径，这推动了对软件组件进行更强完整性检查和透明度的需求。从商业角度来看，开源生态系统中的治理失败可能削弱对关键 IT 基础设施的信心，潜在地增加依赖这些工具的企业的合规成本和风险溢价。尽早采用软件物料清单（SBOM）并加强审计，可能成为具有风险意识的组织的竞争必需品。