一、什么是供应链 “投毒”？比钓鱼更隐蔽

二、三大工具集体沦陷，全是高频刚需

1. Apifox（API 工具）：百万用户被窃密

时间：3 月 4 日 —22 日（潜伏 18 天）

手法：劫持官方 CDN，替换正常 JS 脚本为恶意代码

危害：自动窃取SSH 密钥、Git 密码、云服务器凭证、数据库账号

影响：超 20 万开发者、上千家企业核心系统暴露

2. LiteLLM（AI 开发库）：近亿月下载量中招

月下载：9700 万 +，几乎所有 AI 项目都依赖

手法：盗取 PyPI 官方权限，上传恶意版本（1.82.7/1.82.8）

危害：植入后门、窃取云凭证、远程控制设备

特点：因代码 bug 导致死机才意外暴露，堪称 “AI 写的恶意代码翻车现场”

3. Axios（前端通信库）：90% 网站 / APP 受影响

全球最常用 HTTP 请求库，海量网站、小程序、APP 内嵌

手法：劫持维护者 npm 账号，发布恶意版本（1.14.1/0.30.4）

危害：跨站窃密、代码注入、用户数据泄露

三、普通人必看：你也可能被动中招

用过 AI 工具、在线协作、小程序、常用 APP → 可能间接依赖被投毒组件

不用点链接、不下盗版、不装陌生软件 →正常使用就可能中招

风险：账号被盗、隐私泄露、设备被控制、数据被窃取

四、立即自查 + 防护，3 步守住安全

更新软件

密码与凭证重置

日常安全习惯

五、安全提醒

请立刻自查、更新、改密，并转发给身边的开发者、上班族、互联网用户 ——别让 “正常使用”，变成信息泄露的开始！

编辑 | 刘小南

校对 | 潘泰可初审 | 苏布多终审 | 陆国兵