看发布流程比看代码快
连着两次知名项目供应链攻击有明确的共同模式,这个模式本身就是一个有用的警觉信号。
连着两次知名项目供应链攻击,有个很明显的共同模式。
先是 LiteLLM,再是 Axios。两次都是:恶意包直接注入到知名项目的新版本依赖里,且恶意包发布时只有 npm 包,没有对应的 GitHub release。
Simon 提了个很有用的观察:当一个项目平时有稳定的发布习惯,突然某一次只发包管理器、没有 GitHub release,这本身就是一个比看代码更快的警觉信号。
安全这件事,有时候最有用的不是复杂的静态分析,而是「这和平时不一样」。
来源: