2026 年 3 月,npm 上每週破億下載的 axios 與 PyPI 上 AI 熱門套件 LiteLLM 接連遭到供應鏈攻擊,惡意程式碼透過正常的套件安裝流程直接進入開發者的電腦,竊取憑證、植入後門。這篇文章會介紹什麼是套件管理器與供應鏈攻擊、拆解 axios 和 LiteLLM 兩起事件的攻擊手法與時間線,並提供 npm、pip、Maven、Gradle 開發者在 AI 時代可以馬上實踐的防範措施與工具推薦。
程式筆記、開發心得、個人部落格
2026 年 3 月,npm 上每週破億下載的 axios 與 PyPI 上 AI 熱門套件 LiteLLM 接連遭到供應鏈攻擊,惡意程式碼透過正常的套件安裝流程直接進入開發者的電腦,竊取憑證、植入後門。這篇文章會介紹什麼是套件管理器與供應鏈攻擊、拆解 axios 和 LiteLLM 兩起事件的攻擊手法與時間線,並提供 npm、pip、Maven、Gradle 開發者在 AI 時代可以馬上實踐的防範措施與工具推薦。