最近一波 NPM 供应链攻击——包括 2025 年 8 月对 Nx 包的 S1ngularity 攻击、2025 年 9 月的调试/粉笔攻击,以及持续的“Shai-Hulud”蠕虫活动——正是《网络韧性法案》(CRA)旨在预防和保护您的企业的系统性漏洞类型。这些攻击累计攻破了数百个包,每周下载量达数十亿次,展示了 NPM 生态系统漏洞如何连锁蔓延整个软件供应链。
供应链安全危机
软件供应链攻击的发生率是历史平均水平的两倍,自 2025 年 4 月以来,平均每月 26 起。行业分析师预测,到 2025 年,全球 45%的组织将遭遇供应链攻击,较 2021 年增长了三倍。预计 2025 年全球年成本将达到 600 亿美元,到 2031 年将增长至 1380 亿美元。—— 链接
这不仅仅是网络安全问题——更是企业信任基础设施的根本性崩溃。当犯罪分子破坏现代软件开发的基石时,他们会制造连锁故障,瞬间瘫痪整个行业。一次成功的上游泄露会引发多米诺骨牌效应,悄无声息地同时威胁无数下游组织。
最危险的方面是大型、资源充足的组织与其较小、防御较少的供应商之间的“网络不平等”。攻击者有策略地将易受攻击的供应商作为进入大型企业的入口,使每一个业务关系都成为潜在的攻击途径,可能破坏运营连续性。
产品开发者的法律责任爆炸式增长
开发软件产品的公司在其被攻破的应用程序被分发给其他企业时,面临前所未有的法律风险。现代软件开发高度依赖第三方组件、开源库和商业依赖,这些可能被犯罪分子在开发者不知情的情况下武器化。
研究显示,95%的组织在其软件供应链中至少存在一项高风险、关键风险或末日风险。当这些风险转化为实际攻击时,产品开发者就其软件分发被攻破造成的所有下游损害负法律责任。
法律理论很简单:分发供应链安全性不足的软件构成企业疏忽。公司对每一次客户数据泄露、每笔被盗的加密货币交易以及所有可追溯到其软件产品的被入侵企业系统都承担责任。
董事和高管的责任非常严重且个人化。董事会成员因未能实施充分的供应链治理而面临个人财务风险,因为近期法律先例表明网络安全失效可能突破企业责任保护。
NPM 危机:连锁破坏的完美例子
2025 年的 NPM 攻击恰好展示了供应链破坏如何破坏产品开发者的业务连续性。在 8 月至 9 月间,犯罪分子系统性地攻破了 500 多个 JavaScript 包,每周下载量数十亿次,几乎影响了所有构建网页应用的组织。
对 Nx 软件包的 S1ngularity 攻击让犯罪分子获得了四小时对开发工具的完全控制,每周下载量达 460 万次。在此期间,缺乏适当构建安全的组织在不知情的情况下将恶意代码集成到生产应用中,随后分发给客户。
调试/粉笔的入侵更为隐蔽,目标是嵌入 JavaScript 生态系统中,以至于传统安全工具几乎看不见的实用工具包。几周后,公司发现他们的“安全”应用秘密收集客户凭证,并将加密货币交易重定向到犯罪钱包。
Shai-Hulud 蠕虫活动引入了自我复制的恶意软件,能够自动在软件包依赖间传播。在这次单一行动中,超过 180 个软件包被攻破,恶意软件设计为长时间静默运行,同时从感染系统中窃取敏感数据。
业务连续性崩溃
NPM 攻击迫使数千家组织暂停开发流程,实施紧急依赖审计,并冻结产品发布,以评估漏洞风险。公司花了数周时间手动审查成千上万个本应自动监控的依赖,而客户对软件安全实践的信心也因此丧失。
其财务损失超过了因应急响应成本、生产力中断和产品推迟而导致的行业整体损失20亿美元。缺乏全面依赖可视化的组织面临着无限的风险,因为每天都有新的被攻破软件包被发现。
企业客户开始要求在继续使用受影响产品前,立即获得供应链安全的证明。无法展示全面依赖管理的公司面临客户流失,因为企业优先选择能够证明安全实践的供应商。
CRA 的角色,保护供应链
欧盟的《网络韧性法案》(CRA)通过让产品制造商从产品开始及其生命周期内构建安全,帮助防止供应链风险。其中一个关键部分是强制提供软件物料清单(SBOM),列出所有使用的组件,提高透明度,并使软件供应链中的漏洞更容易发现。CRA 还强制执行清晰报告和快速修复,追究供应商责任,减少不安全或受损组件流入用户手中的可能性。
监管合规违规
欧盟的《网络韧性法案》将于 2027 年 12 月全面生效,对未能实施适当供应链安全的公司处以 1500 万欧元罚款,占全球收入的 2.5%。NPM 攻击发生时,这些法规即将实施,使组织的依赖管理实践面临即时监管审查。
该法规特别要求实时漏洞监控、全面的软件物料清单跟踪和24小时事件报告——这些功能大多数组织完全缺乏。受供应链攻击影响且缺乏适当安全控制的公司,将面临有记录的违规行为,可能引发最高处罚。
BuildGuard:全面供应链保护
BuildGuard 将你最大的连续性风险转化为竞争优势。BuildGuard 直接接入您的 CI/CD 流水线和 Incredibuild 的加速引擎,生成 SBOM 并扫描您的产品——不会拖慢您的速度。BuildGuard 为您的产品组件提供完整的可视化。BuildGuard 通过构建时行为分析在几分钟内检测恶意代码,在恶意软件包到达客户手中前拦截它们,并确保 CRA 通过严密的审计轨迹完全合规。
立即行动: 供应链攻击正在升级。没有构建层安全,你将面临法律、运营和声誉的灾难。
保护你的 Pipeline,立即部署 BuildGuard。
