想象一下，你开了一家火锅店，生意兴隆。为了做出最地道的锅底，你从一家信誉良好的供应商那里采购了现成的底料包。你只需要加水煮沸，就能端给顾客。这时候，如果有人偷偷在底料包里加了点“料”，比如巴豆粉，那你的顾客吃完就会集体拉肚子，你的店也就完了。

软件供应链攻击的原理，和这个火锅店的故事一模一样。现代软件开发很少从零开始，而是大量使用第三方的开源代码、库和框架。npm（Node Package Manager）就是最大的JavaScript“食材市场”，开发者们会从这里“采购”各种现成的功能模块，加到自己的应用里。

攻击者不直接攻击你的软件，而是攻击这个“食材市场”。他们通过恶意手段，在npm等平台上植入含有恶意代码的“食材”。一旦有开发者不小心“采购”了这些食材，整个应用就相当于被“投毒”了。最终，使用这个应用的终端用户，比如你我，就会成为受害者——可能会被窃取密码、银行卡信息，或者电脑变成攻击者的“肉鸡”。

攻击者在npm上“下毒”主要有三种手段，越来越隐蔽，防不胜防。

• 手段一：名字伪装（Typosquatting）。攻击者会注册一些和流行库名字非常相似的包，比如把“lodash”写成“lodah”或者“1odash”。开发者一个手滑，就可能把恶意的包当成正版下载下来。这就像在菜市场里，把“康帅傅”方便面当成“康师傅”买回家。
• 手段二：恶意包更新（Malicious Package Update）。一个原本很安全的库，被攻击者攻破了维护者的账号，然后悄悄地在一次更新中加入了恶意代码。开发者只要执行“升级”操作，就相当于主动服毒。这就像你一直信赖的酱油品牌，突然有坏人混进了工厂，在某个批次里加了脏东西。
• 手段三：依赖混淆（Dependency Confusion）。很多大公司内部有私有包，名字和公共npm上的包一样。攻击者就在公共npm上注册同名的包，并故意设置更高的版本号。当公司的构建系统去拿包时，可能会错误地优先下载了公共npm上的恶意包。这就像你的仓库管理员去进货，本来要买“苹果牌”手机，结果被一个写着“苹果（最新版）”的山寨货给骗了。

一旦你的软件中招，后果可能非常严重，远超你的想象。

今天的新闻中，npm遭受的供应链投毒攻击，很可能就是信息窃取的变种。攻击者费尽心机，就是为了拿到开发者手中的“钥匙”——那些通往各大云服务和数据库的凭证。一旦得手，他们就可以长驱直入，进行更高级的攻击。