TL;DR

2026 年 3 月下旬，依赖生态两款最广泛使用的包——Trivy（三万四千 GitHub 关注）和 Axios（十万九千 GitHub 关注）——在数日内相继沦陷。两起攻击利用相同的根本漏洞：依赖生态的信任安全模型假设拥有有效凭证的维护者是合法发布者。事件影响数百万开发者，暴露系统性弱点——Python 包索引多年前已通过加密认证解决。

要点摘要

2026 年 3 月 19 日至 31 日间，依赖生态遭遇两起独立但结构相同的供应链攻击，瞄准安全关键包。Trivy，全球 CI/CD 流程使用的开源漏洞扫描器，通过凭证盗窃沦陷。Axios，JavaScript 生态最受欢迎的 HTTP 客户端之一，周下载量约四千万，通过社会工程攻击沦陷，在首席维护者电脑上安装远程控制木马。

两起攻击在发布后数小时内向下游用户交付恶意代码。两者利用相同弱点：依赖生态接受任何以有效维护者凭证签名的包版本，无论凭证是通过盗窃、社会工程还是恶意软件获得。生态不提供加密验证已发布的包实际来自声明的维护者。

本分析检视攻击时间线、根本原因及 JavaScript 生态的更广泛影响。关键发现：依赖生态安全模型落后 Python 包索引至少两年。Python 包索引于 2024 年实施 PEP 740 认证，使用 Sigstore 进行加密包验证。依赖生态无等效机制。

关键数据点:

指标	Trivy 攻击	Axios 攻击
GitHub 关注	34,331	109,015
暴露窗口	3-12 小时	~3 小时
攻击载体	凭证盗窃	社会工程 + 远程控制木马
恶意版本	v0.69.4 + 76 个标签推送	1.14.1, 0.30.4
周下载量	高 (CI/CD)	~40M

背景

依赖生态多年经历供应链攻击，但 2026 年 3 月事件代表复杂度和影响的令人担忧升级。理解攻击为何成功及其揭示的系统性漏洞，需检视依赖生态安全历史及其底层信任模型。

依赖生态供应链攻击历史模式

JavaScript 生态经历一系列高关注度供应链事件，确立清晰模式：

• event-stream (2018): 热门包被转让给未知开发者，后者添加瞄准加密货币钱包的恶意代码。维护者厌倦维护项目，未经审查即移交。

• colors.js/faker.js (2022 年 1 月): 开发者 Marak Squires 故意破坏自己的包，抗议无偿开源维护工作。包开始打印无限垃圾字符循环时，数百万应用崩溃。

• ua-parser-js (2021 年 10 月): 包通过维护者账户访问沦陷，分发加密货币挖矿恶意软件。

每起事件暴露依赖生态信任模型的不同漏洞，但仓库根本方法保持不变：信任维护者，仅验证凭证。

依赖生态当前安全模型

依赖生态仓库基于三个核心假设运行：

1. 维护者是可信行为者，不会故意发布恶意代码
2. 有效依赖生态凭证证明维护者身份和授权
3. 版本标签是可靠指针指向特定代码状态

三个假设在 2026 年 3 月攻击中均失败：

• Trivy 证明凭证可从资源充足、安全意识强的组织被盗
• Axios 演示维护者可被社会工程攻击，攻击者花费数周建立信任后下手
• 两起事件显示依赖生态发布模型允许检测前快速标签操纵

仓库响应机制——72 小时内取消发布和安全公告——是反应性而非预防性。两起攻击均非依赖生态自身监控系统检测；均由社区成员和第三方安全研究人员识别。

Python 包索引的对比方法

Python 包仓库在经历自身供应链事件后走上一条根本不同的道路。2024 年，Python 包索引实施 PEP 740 认证，使用 Sigstore，一个软件制品加密签名和验证系统。

在此模型下：

• 包发布者通过 OpenID Connect (OIDC) 使用 GitHub 身份加密签名发布
• 签名成为包元数据中可验证”束”的一部分
• 消费者可验证包实际由声明的维护者发布
• 认证存储于公共透明日志，创建不可变记录

Python 包索引实施意味着即使攻击者窃取维护者的 Python 包索引凭证，也无法发布有效签名的包，除非同时沦陷维护者的 GitHub 账户和 OIDC 流程。这比依赖生态仅凭证模型代表显著障碍。

分析维度一：攻击载体与方法论

Trivy 和 Axios 攻击虽瞄准不同包、使用不同技术载荷，共享相同根本原因：沦陷的维护者凭证。理解具体攻击方法论揭示当前安全实践如何无法阻止复杂攻击。

Trivy 攻击：凭证盗窃与多载体分发

时间线:

日期/时间 (UTC)	事件	意义
3 月 19 日, 17:43	恶意 v0.69.4 标签推送	攻击开始
3 月 19 日, 18:22	v0.69.4 发布制品公开	恶意二进制通过 GitHub、Deb、RPM、容器分发
3 月 19 日, 21:42	v0.69.4 移除	~3 小时二进制发布暴露
3 月 20 日, 05:40	trivy-action 标签恢复	~12 小时 GitHub Actions 暴露
3 月 22 日, 15:43	DockerHub 镜像沦陷	第二波攻击
3 月 23 日, 01:40	DockerHub 镜像移除	~10 小时容器暴露
3 月 24 日, 17:53	GHSA-69fq-xp46-6x23 发布	官方公告

攻击展示对 Trivy 分发渠道的复杂理解。攻击者非沦陷单一发布点，而是：

1. 通过 GitHub 发布发布恶意二进制版本 (v0.69.4)
2. 强制推送 trivy-action GitHub Actions 仓库中 76/77 个版本标签，影响全球 CI/CD 流程
3. 替换 setup-trivy action 中 7 个标签
4. 第二波沦陷 DockerHub 镜像 (v0.69.5 和 v0.69.6)

多载体方法最大化影响范围：拉取二进制的开发者、使用 Actions 的 CI 流程、基于容器的部署均面临暴露。

攻击载体分析:

GitHub 安全公告 GHSA-69fq-xp46-6x23 表明沦陷凭证被用于发布恶意版本。公告未说明凭证如何获得，但攻击模式暗示：

• 从维护者或基础设施定向凭证收集
• 了解 Trivy 多渠道分发（发布、Actions、DockerHub）
• 检测前跨所有渠道快速发布

讽刺的是，Trivy 是漏洞扫描器——检测安全问题的工具成为分发它们的载体。

Axios 攻击：社会工程战役

时间线:

日期/时间 (UTC)	事件	意义
3 月 ~17-30 日	社会工程战役	攻击者与维护者建立关系
3 月 ~30 日	远程控制木马安装于维护者电脑	设备沦陷
3 月 31 日, 00:21	恶意版本发布	[email protected] 和 0.30.4 推送
3 月 31 日, 03:00	Issue #10604 开启	社区检测沦陷
3 月 31 日, 03:15	恶意版本移除	~3 小时暴露
4 月 02 日, 15:06	事后分析发布	完整披露

Axios 攻击更个人化、更耐心。根据 维护者 Jason Saayman 官方事后分析:

“攻击者通过定向社会工程战役和远程控制木马恶意软件获得首席维护者电脑的访问权限。”

攻击载体分析:

• 持续时间: 攻击前约两周关系建立
• 方法: 社会工程最终安装远程控制木马
• 载荷: 恶意依赖 [email protected] 安装跨平台远程控制木马
• 命令与控制服务器: 确定为 sfrclak[.]com 和 142.11.206.73:8000

攻击演示即使安全意识强的包维护者也可被个人瞄准。Axios 维护者承担全部责任：

“我想完全透明地说明发生了什么…攻击者通过定向社会工程战役和远程控制木马恶意软件获得首席维护者电脑的访问权限。”

检测后，维护者：

1. 擦除所有设备
2. 重置所有凭证
3. 开始实施不可变发布
4. 启动转向 OIDC 发布
5. 发布详细事后分析供社区学习

共同攻击模式

两起攻击遵循相同的顶层模式：

凭证沦陷 -> 恶意版本发布 -> 通过信任分发 -> 外部检测 -> 移除

两起攻击均非依赖生态内部系统检测。均由：

• Trivy: Aqua Security 内部监控
• Axios: 社区成员报告可疑行为 (Issue #10604)

此模式揭示关键缺口：依赖生态安全模型仅在恶意代码分发给用户后检测攻击。

分析维度二：生态漏洞评估

依赖生态对供应链攻击的脆弱性源于与其他包仓库显著不同的结构特征。理解这些差异揭示问题范围和潜在解决方案。

信任假设问题

依赖生态安全模型建立在根本信任假设上：拥有有效凭证的维护者是合法发布者。此模型在以下情况下运作良好：

• 维护者谨慎保护凭证
• 攻击者不直接瞄准维护者
• 沦陷凭证被快速检测

2026 年 3 月攻击打破三个假设：

1. Trivy: 即使安全导向组织 (Aqua Security) 也无法阻止凭证盗窃
2. Axios: 复杂社会工程战役直接瞄准维护者
3. 两者: 检测依赖外部方而非内部监控

下表对比依赖生态安全模型与其他包仓库：

安全特性	npm	Python 包索引	Cargo	Maven
加密签名	无	有 (PEP 740/Sigstore)	计划中	可选 GPG
不可变发布	无 (72 小时取消发布窗口)	有	严格	有
OIDC 发布	可选	有 (Sigstore)	计划中	无
认证验证	无	有	开发中	无
内置恶意软件扫描	有限	有	有限	无

单点故障

一个显著但常被忽视的漏洞是维护者集中问题。虽然依赖生态单维护者依赖包的精确百分比未公开记录，历史事件显示清晰模式：

• colors.js/faker.js: 一名维护者 (Marak) 控制影响数百万项目的包
• event-stream: 单一维护者将所有权转让给攻击者
• Axios: 多名维护者，但首席维护者账户是沦陷点

即使多维护者包也脆弱，如果主要维护者凭证沦陷。Axios 案例演示拥有多名维护者并不阻止对最高权限账户的定向攻击。

影响范围分析

供应链攻击潜在影响随包热度增长：

“Axios 周下载量: ~40M (从十万九千 GitHub 关注和依赖生态热度推算)”

来源：依赖生态仓库热度分析

3 小时暴露窗口配合四千万周下载量意味着约七万下载可能在该短窗口拉取恶意版本。即使 1% 感染率将影响七百项目。

对 Trivy，影响范围更难量化但在企业环境中潜在更严重：

• 三万四千三百三十一 GitHub 关注表明广泛采纳
• CI/CD 流程集成意味着大规模自动运行 -沦陷的安全扫描器可能掩盖漏洞而非检测它们

Socket.dev 影响范围分析 指出下游依赖放大影响：

“隐藏影响范围超出直接 Axios 用户至所有传递依赖 Axios 的包。“

历史先例模式

攻击符合依赖生态供应链沦陷的文档模式：

事件	年份	攻击载体	暴露
event-stream	2018	维护者转让	数天
ua-parser-js	2021	凭证沦陷	数小时
colors.js/faker.js	2022	故意破坏	数小时
Trivy	2026	凭证盗窃	3-12 小时
Axios	2026	社会工程 + 远程控制木马	3 小时

模式显示：

1. 攻击加速（一周内两起重大事件）
2. 攻击复杂度增加（定向社会工程）
3. 检测仍是反应性（社区/第三方而非仓库）

分析维度三：对比生态安全

依赖生态非唯一面临供应链攻击者，但响应比其他包仓库更慢。Python 包索引的加密认证实施为依赖生态可采纳的具体模型。

Python 包索引的 PEP 740 认证

2024 年，Python 包索引实施 PEP 740，启用：

1. 基于 Sigstore 的签名: 发布者通过 OIDC 使用 GitHub 身份签名包
2. 透明日志: 签名存储于公共不可变日志
3. 验证束: 消费者可独立验证包真实性
4. pypi-inspector 工具: 允许安装前浏览包文件

Sigstore Python 客户端（三百一十五 GitHub 关注）提供验证工具：

# 示例验证流程（概念性）
from sigstore_python import verify

# 验证包认证
result = verify(package="requests", version="2.31.0")
if result.valid:
    print(f"包已验证: 由 {result.signer} 签名")
else:
    print("警告: 包认证验证失败")

这意味着即使攻击者窃取 Python 包索引维护者密码，也无法发布有效认证的包，除非同时沦陷：

1. 维护者的 GitHub 账户
2. GitHub 与 Python 包索引间的 OIDC 流程
3. 透明日志（计算上不可行）

依赖生态当前缺口

依赖生态无 PEP 740 等效方案。仓库依赖：

• 可选双因素认证: 维护者可启用双因素认证，但非必需
• 基于令牌的发布: 依赖生态令牌可生成并用于 CI/CD
• 取消发布窗口: 包可在 72 小时内取消发布

缺口显著，因为依赖生态令牌是”持有者令牌”——任何人持有令牌即可发布。如果令牌被盗（如 Trivy 攻击），攻击者拥有完全发布访问权限直至令牌被撤销。

Sigstore 生态采纳

Sigstore 在供应链安全方面获得显著采纳：

工具	目的	GitHub 关注
cosign	容器/二进制签名	5,781
gitsign	Git 提交签名	1,076
sigstore-python	Python 包索引认证	315
OpenSSF Scorecard	安全评分	5,351

基础设施存在供依赖生态采纳类似验证。问题是 JavaScript 生态为何较慢实施。

企业工具采纳

在缺乏依赖生态原生解决方案的情况下，企业转向第三方工具：

• Socket.dev: 依赖生态安全扫描器，具备供应链攻击检测
• Snyk: 依赖扫描，具备漏洞警报
• StepSecurity: GitHub Actions 强化与 OIDC 工作流
• Renovate (21,199 关注): 自动依赖更新与锁定
• Dependabot (5,514 关注): GitHub 内置依赖更新

这些工具提供纵深防御但需要主动采纳。它们不解决根本缺口：依赖生态缺乏内置验证包由声明的维护者发布。

关键数据点

指标	数值	来源	日期
Trivy GitHub 关注	34,331	GitHub API	2026-04-04
Axios GitHub 关注	109,015	GitHub API	2026-04-04
Axios 周下载量	~40M	依赖生态推算	2026-03
Trivy v0.69.4 暴露	~3 小时	GHSA-69fq-xp46-6x23	2026-03-19
trivy-action 暴露	~12 小时	GHSA-69fq-xp46-6x23	2026-03-19-20
Trivy DockerHub 暴露	~10 小时	GHSA-69fq-xp46-6x23	2026-03-22-23
Axios 暴露窗口	~3 小时	axios/issues/10636	2026-03-31
OpenSSF Scorecard 关注	5,351	GitHub API	2026-04-04
Cosign 关注	5,781	GitHub API	2026-04-04
Renovate 关注	21,199	GitHub API	2026-04-04
Python 包索引仓库关注	3,993	GitHub API	2026-04-04
依赖生态 CLI 关注	9,648	GitHub API	2026-04-04

🔺 独家情报：别处看不到的洞察

置信度: 高 | 新颖度评分: 85/100

媒体对 Trivy 和 Axios 攻击的报道将其视为独立事件——“又一次依赖生态供应链攻击”标题聚焦即时影响和补救步骤。报道遗漏的是结构模式：两起攻击利用完全相同的漏洞，且依赖生态无路线图修复。

Axios 维护者的响应——实施 OIDC 发布和不可变发布——正是依赖生态应强制全生态执行。相反，个体维护者被留作实施自己的安全态势。StepSecurity 分析 指出 OIDC 发布是”新兴最佳实践”但非仓库要求。

Python 包索引的 PEP 740 实施现已超过一年，演示加密验证在仓库规模技术上可行。Sigstore Python 客户端 透明处理复杂度。依赖生态持续依赖持有者令牌和信任发布代表故意安全缺口。

更深问题是维护者可持续性。两起攻击瞄准无偿志愿者。Axios 社会工程战役运营约两周后才下手——时间投入暗示专业威胁行为者。开源维护者对抗国家级对手，无安全预算、无正式培训、无机构支持。

关键启示: 依赖依赖生态的组织应立即实施私有仓库代理和依赖锁定，因为依赖生态已演示无实施加密验证时间表来预防这些基于凭证的攻击。

趋势展望

近期（0-6 个月）

预测: 依赖生态将宣布 Sigstore 集成或类似加密验证机制的路线图。置信度: 中等。

一周内两起高关注度攻击压力，配合 Python 包索引先例，创造显著社区需求。然而依赖生态因生态规模和向后兼容顾虑，历史上安全变更行动缓慢。

关键触发信号: 官方依赖生态博客文章或 RFC 宣布 Sigstore 成或认证试点项目。

开发者即时行动:

行动	优先级	工具/方法
锁定依赖至特定版本	关键	package-lock.json, yarn.lock
检查锁文件是否含受影响版本	关键	`grep -E ‘axios@(1.14.1
如暴露则轮换所有秘密	关键	将机器视为沦陷
启用不可变发布	高	GitHub 仓库设置
实施私有仓库	高	Verdaccio, 依赖生态企业版
采纳依赖扫描	中	Socket.dev, Snyk

中期（6-18 个月）

预测: 全生态加密验证实施前至少再一起重大依赖生态供应链攻击。置信度: 高。

攻击载体仍开放。瞄准维护者的社会工程战役对攻击者而言低成本高回报。Axios 攻击演示热门包维护者是软目标。

预测: 企业采纳私有依赖生态仓库和代理层将显著增加。置信度: 高。

Socket.dev 分析 和 Snyk 公告 演示当仓库本身不提供验证时第三方安全层市场需求。

长期（18+ 个月）

预测: 依赖生态将实施加密认证验证，但采纳将缓慢，因生态规模和向后兼容要求。置信度: 中等。

Python 包索引经验提供模板，但依赖生态生态更大更分散。JavaScript 社区需工具更新、CI/CD 工作流变更、维护者教育以达有意义采纳。

预测: 监管要求将强制关键基础设施软件供应链验证，推动采纳无论依赖生态时间线。置信度: 中等。

美国改善国家网络安全行政命令（2021）及后续 NIST 软件供应链安全指导创造监管压力。受这些要求约束的组织需可验证供应链——依赖生态当前模型不足。

关键触发信号

生态变更最显著指标将是官方依赖生态关于 Sigstore 集成或认证支持的公告。无此路线图，生态仍对沦陷 Trivy 和 Axios 的确切攻击载体脆弱。

届时模式清晰：维护者凭证是依赖生态生态的软肋，攻击者已学会精准打击。

信息来源

• GitHub 安全公告 GHSA-69fq-xp46-6x23 — Trivy 供应链攻击公告，2026 年 3 月
• Axios 事后分析 Issue #10636 — 官方 Axios 事件分析，2026 年 4 月
• InfoQ - Trivy 供应链攻击 — 技术新闻报道，2026 年 4 月
• InfoQ - Axios 依赖生态供应链攻击 — 技术新闻报道，2026 年 4 月
• StepSecurity - Axios 技术分析 — 完整技术分析与补救，2026 年 4 月
• Socket.dev - Axios 社会工程分析 — 攻击载体深度剖析，2026 年 4 月
• Socket.dev - Axios 影响范围分析 — 下游影响分析，2026 年 4 月
• Snyk - Axios 公告 — 安全公告与扫描指导，2026 年 4 月
• OpenSSF Scorecard — 开源安全健康指标
• Sigstore Cosign — 容器签名与验证
• Sigstore Gitsign — 无密钥 Git 提交签名
• Python 包索引仓库 — Python 包索引与 PEP 740 认证