据 Ars Technica 报道,一种具备自传播能力的恶意软件正在通过“投毒”方式渗透到开源软件生态中,随后借助被污染的组件进入企业与开发团队的供应链环境。报道指出,该恶意软件在传播过程中会主动寻找可继续扩散的路径,并在特定条件下触发破坏行为,其中包括对伊朗境内的部分机器执行数据抹除,造成系统与业务的严重中断风险。安全研究人员提醒,受影响的不仅是终端用户,开发公司与软件交付链条同样可能成为扩散节点。对此,建议相关机构尽快对内部网络与构建环境进行全面排查,重点关注依赖来源、构建产物与异常执行行为,同时加强对开源依赖的审核与隔离策略,以降低被供应链攻击连带波及的概率。
来源:Ars Technica
原始发布时间:Tue, 24 Mar 2026 12:38:09 +0000