近日，网络安全领域再次拉响警报——黑客将目标锁定在GitHub上的自动化安装脚本，已有超过700个公开代码库遭到感染。Socket安全团队于6月7日发布深度分析报告，详细披露了此次攻击的完整手法。

攻击手法虽不复杂，却极具隐蔽性。黑客首先锁定部分GitHub上游代码仓库，暗中篡改package.json中的自动安装脚本。开发者一旦像往常一样执行依赖安装，该脚本便会自动触发，无痕下载恶意木马。随后，攻击者即可乘虚而入，窃取设备中的敏感数据，并进一步向更多下游项目扩散污染。

尤为值得警惕的是该木马的精妙伪装：它被写入/tmp/.sshd路径，刻意模仿合法SSH服务的进程名称。即便是粗心的开发者，甚至资深运维人员，在快速浏览进程列表时也很难第一时间察觉异常。

此类供应链投毒攻击之所以威胁巨大，根源在于“信任惯性”——开发者往往会默认自动安装流程安全可靠，极少逐行审查脚本内容。一旦上游仓库失守，所有依赖它的下游项目将面临全面沦陷的风险。Socket安全团队给出的建议清晰明确：切勿盲目信任任何第三方依赖包，应定期核查Composer包管理工具配置，并严格审计所有自动执行脚本，这才是抵御此类攻击的务实之举。

换个视角来看，此次事件再次为整个行业敲响警钟：在开源生态持续扩张的背景下，供应链安全已不再是大企业的专属课题。每一位参与代码复用的开发者，都应当提高对“自动安装”环节的警觉，把信任底线设得更高一些。