NCSC警告:软件供应链攻击正在升级,企业应立即审查依赖组件

英国国家网络安全中心（NCSC）近日发布安全警示称，针对开源软件生态系统的供应链攻击正在快速增长，攻击者正利用开发者对第三方组件、自动化工具链以及软件仓库的信任，将恶意代码植入大量组织的开发和生产环境。

NCSC呼吁企业和安全团队立即审查软件依赖关系（Dependencies），评估自身是否受到相关攻击影响，并采取措施降低风险。 

NCSC指出，现代软件开发高度依赖开源组件和第三方库。一个应用程序往往会引用数十甚至数百个外部依赖，而这些依赖又可能进一步引用更多“传递依赖”（Transitive Dependencies）。这种层层嵌套的依赖关系虽然极大提高了开发效率，却也让软件供应链变得异常复杂。特别是在Node.js、Python和Rust等生态中，由于标准库相对精简，开发者往往需要依赖大量第三方软件包，从而进一步扩大攻击面。 

与此同时，CI/CD流水线的普及使许多依赖包能够自动下载、安装和更新，整个过程几乎不需要人工干预。攻击者正是利用这种“自动化+信任”的机制，将恶意代码隐藏在看似正常的软件包中。一旦开发者或自动化构建系统引入受污染组件，恶意代码便可能迅速传播至大量下游应用和组织，而在问题被发现之前，攻击已经扩散到整个软件生态。 

NCSC特别提到，近期发生在npm和PyPI等主流软件仓库中的多起攻击事件显示，软件供应链已成为攻击者重点瞄准的目标。例如2026年5月出现的“Mini Shai-hulud”供应链攻击，就利用开发工具链、软件仓库以及CI/CD系统传播恶意代码，并波及多个英国国家医疗服务体系（NHS）相关项目。虽然该事件因发现及时而未造成更严重后果，但后续出现的类似攻击已经表现出更强的隐蔽性和更广泛的传播能力。 

在技术层面，NCSC总结了当前攻击者最常采用的几种手法。首先是开发者账户和维护者账户劫持。攻击者通过窃取凭据或访问令牌，控制合法软件包维护者账户，从而向受信任的软件包中植入恶意代码。其次是废弃项目接管，即利用失效域名、无人维护的软件包或转移的软件仓库重新获得控制权。另一种常见方式是“拼写碰瓷”（Typosquatting），攻击者注册与热门软件包名称极其相似的恶意软件包，诱导开发者误装。此外，部分新型攻击甚至具备自我传播能力，能够利用窃取到的令牌和访问权限进一步感染更多软件包和开发环境。 

NCSC认为，开发者工作站已经成为供应链攻击的重要突破口。与企业受严格管理的终端相比，开发者设备通常拥有更多权限，并存储代码仓库凭据、API密钥和软件仓库访问令牌。一旦开发者环境遭到入侵，攻击者不仅能够窃取敏感信息，还可能直接污染代码发布流程，从而影响整个组织甚至更广泛的软件生态。 

为帮助组织评估风险，NCSC建议立即开展依赖关系审计，重点检查近期软件包更新记录和版本变化情况，识别异常新增依赖或未经授权的组件。同时，应加强对CI/CD活动、网络流量以及凭据使用情况的监控，并使用依赖扫描工具检测已知受污染的软件包。开发者账户和软件仓库账户也应纳入重点检查范围，及时发现异常登录行为和可疑令牌使用情况。 

在防御措施方面，NCSC建议企业建立完整的软件依赖清单，并尽可能采用软件物料清单（SBOM，Software Bill of Materials）管理软件组成结构。通过掌握所有直接依赖和传递依赖的来源、版本及关系，企业能够更快定位受影响组件，并在供应链事件发生时迅速评估影响范围。 

对于怀疑已经受到影响的组织，NCSC建议立即暂停自动依赖更新机制，改为人工审核新版本和新增组件；同时轮换可能暴露的访问凭据和API密钥，对开发者账户及软件仓库账户强制启用多因素认证（MFA），并优先使用经过验证的私有仓库或可信镜像源。 

NCSC还特别强调，当前软件安全管理正面临一个新的平衡问题。一方面，组织需要尽快安装安全补丁以降低漏洞风险；另一方面，过快引入新的第三方依赖或版本更新，也可能将尚未被发现的恶意代码带入环境。因此，企业应避免无条件自动升级依赖组件，而是在安全验证和快速修复之间建立合理平衡。 

总体来看，NCSC此次警告释放出一个明确信号：软件供应链已经成为现代网络攻击最活跃、最具扩散性的战场之一。攻击者不再专注于直接攻击目标组织，而是越来越多地通过污染上游开源组件、开发工具和自动化流水线，实现“一次入侵、多点传播”。在这种背景下，掌握完整依赖关系、加强开发环境保护、建立SBOM管理机制以及提升供应链可见性，正逐渐成为企业软件安全体系中的核心能力。

往期回顾

等保、关保、数保、个保，网络安全与数据治理“四位一体”的体系化制度框架

网络安全等级保护制度统一框架辨析

网络安全等保系列

测评机构不应该背等级保护工作全部的锅

先弄清楚网络概念，再来谈网络安全等级保护吧！

网络安全等级保护：什么是等级保护制度？

网络运营者等级保护合规自查表

等级保护数据安全测评两张图重绘新鲜出炉

《网络安全法》等级保护法条第一款分解

《网络安全法》第二十三条第（一）项合规分解

《网络安全法》第二十三条第（二）技术措施分解

《网络安全法》第二十三条第（三）项合规要求分解：监测与日志留存

《网络安全法》第二十三条第（四）项合规分解：数据分类、加密、备份

《网络安全法》第二十三条第（五）项合规分解：与其他法律的连接器

信息安全技术 网络安全等级保护基本要求

数据分级直接影响等级保护等级

等级保护第一步：定级，现实很多单位未全做

等级保护第二步：备案，是责任单位“向”向公安机关备案

等级保护第三步：建设整改，建设整改是核心

“两保一密三工作”统归等级保护一制度

网络安全等级保护自查清单（对照法条）

《网络安全法》修改与等级保护之间的一点浅析

正确理解等级保护工作的重要性

由“两高一弱”典型案例浅谈等级保护建设的现实困境

网络安全与等级保护制度

关基保护系列

李克强签署国务院令 公布《关键信息基础设施安全保护条例》

关键信息基础设施保护测评

关基测评与等保测评主要差异项对比

关基测评渗透测试基线

关基保护现行法律法规及相关材料目录一览表

数据安全系列

《数据安全法》第二十一条合规拆解

《数据安全法》第二十七条合规分解

数据安全知识：什么是数据安全

结构化数据（Structured Data）与非结构化数据（Unstructured Data）

数据处理者合规自查清单

我国数据安全合规遵循性文件一览

在《医疗卫生机构数据安全和个人信息保护管理办法》下如何合规

数据安全等级测评

数据安全合规自查表（Checklist）基于风险评估

单位数据安全自查清单（依据《网络数据安全管理条例》）

医疗机构数据安全和个人信息保护自查简表（基于最新医疗机构管理办法）

网络数据委托方数据安全合规自查清单

数据安全合规自查表（Checklist）基于风险评估

数据安全技术 数据接口安全风险监测方法

数据安全技术 数据安全风险评估方法

信息安全技术 网络数据处理安全要求

数据安全技术 敏感个人信息处理安全要求

数据安全技术 个人信息保护合规审计要求

数据安全技术 数据分类分级规则

个人信息保护系列

个人信息保护政策法规问答（2026年4月）

我国个人信息保护合规遵循性文件一览

个人信息处理者合规工作自查清单

信息安全技术 个人信息安全规范

数据安全技术 个人信息保护合规审计要求

个人信息保护：个人信息去标识化指南思维导图

小型个人信息处理者个人信息保护合规审计自查表