Python 包索引托管了超过 50 万个软件包,每月提供数十亿次下载。这种规模使 PyPI 成为供应链攻击者极具吸引力的目标。在 2025-2026 年间,针对 Python 生态系统的供应链攻击变得更加复杂、频繁且破坏性更强——这些事件不仅影响个人开发者,还影响企业软件供应链和关键基础设施组件。
攻击向量概述
针对 Python 包的供应链攻击遵循几种不同的模式。Typosquatting(拼写混淆)注册与流行包名称略有差异的包名——例如用”requets”代替”requests”,用”boto”代替”boto3″——并发布恶意版本,在安装过程中执行恶意代码。这些攻击依赖于开发者在需求文件中的拼写错误和复制粘贴错误。
依赖混淆利用了当包同时存在于私有注册表和公共 PyPI 时,包管理器如何解析包名称的机制。攻击者在 PyPI 上发布一个与内部包同名但版本号更高的包。在检查私有注册表之前先检查 PyPI 的包管理器将安装攻击者的版本而不是内部版本。这种攻击已成功入侵多家大型企业,包括在 2024-2025 年登上新闻的几家公司。
维护者账户接管代表了影响最大的攻击向量。如果攻击者入侵了受信任的包维护者的凭据,他们可以向合法且广泛使用的包发布恶意更新。对于拥有数万个依赖项的包,恶意更新在发布后几小时内就能达到数百万次安装。
2025-2026 年值得注意的事件
过去 18 个月中,Python 生态系统发生了几起重大的供应链事件。一系列 AI/ML 包被发现包含数据泄露代码,这些代码会静默地将环境变量(以及其中通常包含的 API 密钥和凭据)传输到攻击者控制的服务器。该攻击特别针对快速增长中的 ML 工具空间,那里的开发者安全审查较少且采用速度很快。
在另一起事件中,一个每周有 50,000 次下载的合法数据处理包通过针对维护者 GitHub 账户的钓鱼攻击被入侵。攻击者发布了一个包含反向 shell 有效负载的次要版本更新,该有效负载在满足特定条件的系统上激活——针对高价值环境,同时在开发环境中保持休眠状态以避免早期检测。
防御:依赖固定
针对供应链攻击最有效的基线防御是严格的依赖锁定与哈希验证相结合。不要在 requirements.txt 中指定版本范围(如 requests>=2.28),而是使用 SHA256 哈希精确锁定版本(使用 pip 的 –hash 选项或 pip-tools 等工具)。这确保即使攻击者发布了恶意的新版本依赖项,您的构建也会失败,而不是静默安装被篡改的包。
锁定文件 — pip.lock、Pipfile.lock 或 poetry.lock — 使用版本锁定捕获完整的依赖树。将锁定文件视为安全工件:将它们提交到版本控制,在拉取请求中仔细审查变更,并要求安全意识审查者对依赖更新进行批准。
防御:软件成分分析
软件成分分析(SCA)工具持续监控您的依赖树,查找已知漏洞、许可证合规问题和被标记为恶意行为的包。像 Snyk、FOSSA 和 GitHub Dependabot 这样的工具集成到 CI/CD 管道中,以阻止引入易受攻击或被标记的依赖项的部署。
PyPI 自身的恶意软件检测管道已显著改进,但它只是被动运行 — 在报告后删除包而不是防止发布。不要将 PyPI 的检测作为您的主要防御手段。假设恶意包偶尔会在被检测到之前到达索引,并据此构建您的防御措施。
防御:私有包镜像
维护一个仅提供已审计包的私有包镜像,可以消除在您上次审计后发布到 PyPI 的包带来的风险。Artifactory、Nexus 和 Devpi 等工具支持带有包审批工作流的私有镜像。配置您的 Python 环境以使用私有镜像作为主要索引,仅将 PyPI 作为未在批准列表中的包的备用源。
对于高安全性环境,在包级别实施白名单 — 明确指定允许哪些包和版本 — 提供最强的供应链保证。维护白名单的运营成本很高,但对于供应链妥协将是灾难性环境,它通常是唯一能提供足够保证的控制措施。
事件响应
当检测到供应链妥协时,快速范围评估至关重要。识别安装了被篡改包的所有环境,确定安装时间线,并评估恶意代码可能访问的内容 — 凭据、API 密钥、内部网络访问。假设最坏的情况,在调查它们是否实际被访问之前,轮换所有从被篡改环境中可访问的凭据。
Python生态系统的开放性是一个特性,而非缺陷——它促成了协作创新,使Python变得有价值。但开放性要求安全责任由所有参与者共同承担:包作者、注册表操作者和包消费者。2026年的威胁环境要求包消费者将依赖管理视为一项安全关键实践,而非行政事后的考虑。
Security Research Editor translating JPCERT advisories and Japanese CVE disclosures for a global audience. Former incident responder at NTT Security; fluent in both attack forensics and regulatory nuance.
More by Hana Nakamura →
这个文章标题一出我就立刻关注了,毕竟Python在我们公司的应用还是挺广泛的。
N|真的没想到供应链会威胁到Python包,我们公司最近正好在用一些开源库,得小心了。
N|文章写得挺详细的,但感觉2026年的预测有点早,现在就开始防范也不为过。
N|初级工程师,我觉得文章提到的这些攻击手段,我们现在就应该开始关注和学习。
N|其实我们公司一直很重视安全问题,这篇文章提到的预防措施,我们都有所了解。
N|作为产品经理,我要把我们团队召集起来,看看如何在我们产品中防范此类攻击。
N|感觉这篇文章提到的攻击手段,和我们日常使用的Python环境有些相似。
N|这个威胁态势分析挺专业的,对于我们公司选择依赖的包很有指导意义。
N|我最近在研究Go语言,但是这个文章提到的风险对Python用户来说是必看。
N|学生,这篇文章让我明白了软件供应链安全的重要性,我要好好学学。
N|说实话,我一直觉得开源环境安全性很高,但这篇文章让我开始思考。
N|这篇文章的预测让我感到压力,我得赶紧更新一下我用的Python库。
N|我们在做数据分析时用到很多Python包,这让我对供应链安全有了新的认识。
N|感觉文章提到了一些高级的防护策略,我们这些技术爱好者可以深入研究一下。
N|我最近在用React.js,但这篇文章也提醒了我,全栈开发需要更全面的防护措施。
N|作为怀疑论者,我觉得这可能是媒体炒作,但我还是会关注供应链安全的。
N|文章说到的攻击手段有点高深,我要多看看相关资料提高自己。
N|我觉得现在就开始防范这种供应链攻击,是对未来的一种负责任态度。
N|我们公司在做自动化测试时,Python包用得很多,这篇文章给了我们很多启示。
N|感觉文章的分析比较全面,从不同的角度分析了供应链攻击的可能性和防范措施。
N|这篇文章让我对Python包的安全性有了新的看法,我要提醒身边的开发人员。
N|感觉Python社区应该对这类供应链攻击更加关注,这篇文章算是一个好的开端。
N|我们公司在做机器学习项目时,大量依赖Python包,这篇文章让我更加关注供应链安全。
N|2026年的预测似乎很遥远,但实际上我们应该尽早开始防范。
N|这篇文章让我意识到,无论是Python还是其他技术栈,供应链安全都不容忽视。
N|感觉文章提到的预防措施,我们团队可以先从一些简单措施做起。
N|2026年的威胁态势虽然遥远,但我认为现在就开始着手预防是很有必要的。