警惕蠕虫变种供应链投毒风险！永信至诚「数字风洞」守护软件供应链安全

11月24日，永信至诚「数字风洞」安全团队监测到，一种名为 “Sha1-Hulud” 的蠕虫式软件供应链投毒正在 NPM、GitHub 等主流开源生态中快速扩散。目前受影响的开源项目已超过 2.7 万个，其中包含下载量过亿的核心组件，攻击规模和潜在影响远超一般恶意包事件。

安全团队分析研判发现，攻击者通过窃取热门组件维护者的发布凭证，将恶意代码注入原本可信的包中。这类攻击的隐蔽性极强：一旦企业在开发或构建流程中引用了污染组件，恶意代码便会自动执行，在开发终端与流水线中窃取敏感信息，并借助蠕虫机制进一步扩散。如果未能在第一时间识别污染版本，攻击者就可能通过“被信任的依赖”进入企业内部，形成持续性渗透。

基于本次蠕虫变种具备的 自动传播、高度链路化、可跨多平台扩散等特性，永信至诚建议企业立即采取以下措施：

1.对开发终端、CI/CD 流水线及生产环境进行全面扫描，重点识别是否存在受污染的依赖组件，确认风险边界。

2.检查 GitHub 仓库是否出现异常迹象，如仓库描述含 “Sha1-Hulud: The Second Coming.” 的可疑内容，或 .github/workflows 目录中突然新增未知 workflow 文件。

更新相关凭证并收紧权限，包括云服务与代码托管平台访问密钥，尽量关闭非必要 API 权限，防止凭证被窃取后触发进一步攻击。

开源软件供应链脆弱性显现

从单点突破向全链条扩散

“Sha1-Hulud”事件再次证明，当软件体系高度依赖开源生态时，供应链风险不再是理论场景，而是对所有政企单位的现实考验。其背后体现的是整个行业的结构性风险，而非单一漏洞。

开源组件广泛应用，准入机制薄弱：中国信通院数据显示，超过 90% 的政企单位在研发中使用开源技术。开源加速了开发，但也意味着大量外部代码在“无审核、弱门槛”的情况下直接进入企业产品，一旦出现投毒事件，就会迅速在生态中传播。

依赖关系复杂，风险沿链传递：一个项目可能只有数十个直接依赖，但其传递性依赖往往成百上千。研究显示，80% 的开源漏洞存在于传递性依赖中。开发者通常仅关注直接依赖，深层嵌套依赖长期处于“不可见”状态，使恶意代码更容易隐藏其间。

软件资产不清晰，缺乏可用的 SBOM：很多企业无法回答一个基本问题：“我们的软件中包含哪些组件？”缺乏 SBOM 导致无法快速定位风险范围，“查不清、算不准”成为普遍难题。面对如本次事件的投毒预警，响应速度取决于是否具备可查询的软件资产目录。

传统安全体系已不能覆盖上游风险：传统安全更关注网络、主机、业务层，而供应链攻击发生在更“靠前”的环节——开发、构建、发布链路。这意味着攻击早于传统安全的感知能力，企业只能被动应对。

随着开源生态进一步扩大、依赖链条继续加深，政企用户必须构建一套可发现、可识别、可追踪、可控制的软件供应链安全评估体系，以应对这种跨链路、跨平台的系统化风险。

永信至诚「数字风洞」软件成分分析系统

构建软件供应链的主动防御体系

要有效应对供应链投毒等攻击，安全能力必须“左移”——将检测、识别与风险治理提前到开发生命周期。永信至诚「数字风洞」软件成分分析系统（SCA）正是为此类风险场景设计，通过自动解析软件构成，识别组件依赖、漏洞与合规风险，形成完整的供应链防御能力。

精准检测开源漏洞与恶意代码

依托丰富的漏洞知识储备和海量的组件版本数据，同步追踪CNVD、CNNVD等权威漏洞库最新信息，并结合威胁情报，平台可精准识别组件中存在的已知安全漏洞和恶意软件包。在开发早期阶段自动发现并预警风险，避免带病上线。

深度解析依赖关系，识别深层风险

平台能够穿透多层嵌套依赖，绘制完整依赖图谱，定位潜伏在深层依赖中的恶意代码。面对类似“Sha1-Hulud”变种蠕虫的供应链投毒，能够快速追溯其来源路径并分析内部传播链，降低排查成本，提高修复效率。

自动生成软件物料清单（SBOM），实现资产可视化

平台会自动扫描源代码、制品、二进制文件，识别所有开源组件，生成可追踪、可审计的 SBOM清单，实现对组织IT资产的自动化盘点，最终达到"可知、可控"。在收到漏洞或投毒情报时，企业能够在分钟级定位受影响范围，不再依赖人工排查，大幅提升应急速度。

灵活集成，顺利嵌入 DevSecOps 流程

支持 Git、GitLab、CLI、文件上传等多种方式，可在开发、构建、测试环节自动触发检测，实现“流程内安全”。不干扰正常开发流程，在问题源头实现发现与修复，大幅降低后期修复成本，促进开发、安全、运维团队协同治理供应链风险。

供应链攻击的核心，是污染源头影响全链路。在现代软件体系中，“源头是否可信”正在成为基础安全能力的关键指标。

数字安全测试评估赛道领跑者、网络靶场与人才建设领军者、 AI「原生安全」倡导者，永信至诚将持续基于「数字风洞」产品体系，为企业构建可见、可控、可防御的软件供应链安全能力，让每一次构建、每一次依赖更新、每一条交付链路都建立在可被验证的信任基础之上。

在快速演进的数字生态中，只有让安全成为软件生产力的一部分，企业才能保持长期健康、稳定与可持续的发展。永信至诚将持续基于“产品乘服务”创新理念，为政企用户提供坚实的数字安全底座，保障业务连续性，守护数字健康。