38个流行开源包被嵌入恶意代码 波士顿科技圈震动 MIT教授定性2026年最大开源安全危机

TechCrunch周一早晨发出的这条独家调查报道，在波士顿Kendall Square和Seaport District的科技工程师群里几乎是一夜之间炸开。安全研究人员发现一场仍在进行中的大规模供应链攻击，约38个流行的npm、PyPI和Cargo包在过去72小时内被注入了恶意代码，目标是窃取开发者机器上的SSH密钥、AWS凭据和加密钱包私钥。

2024年SolarWinds之后最大供应链攻击

本次涉及的包累计每周下载量超过2.6亿次，包括前端工具链中的核心依赖。攻击者通过劫持几个维护者长期未使用的npm账号，发布看起来像是常规小版本的更新，恶意代码经过两层混淆。波士顿安全公司Rapid7威胁研究总监Caitlin Condon对TechCrunch表示："这是2024年SolarWinds事件之后最大规模的一次软件供应链攻击。"

MIT计算机系教授Lily Wei定性

MIT计算机科学与人工智能实验室CSAIL教授Lily Wei周一在Stata Center的紧急圆桌上对在场约80名研究员和企业代表说："这是2026年最大的开源安全危机。我们已经监测到至少12家波士顿地区的初创公司CI/CD流水线在过去48小时内成功执行了被污染的依赖。"Wei呼吁所有在Boston-Cambridge地区使用Node.js、Python、Rust构建的团队立即冻结部署。

波士顿Anthropic办公室紧急更新依赖

Anthropic Boston办公室位于Seaport District，约180名工程师专注于Claude企业部署和评估工具链。办公室周一上午发出全员通告，要求所有开发者立即对照CVE清单审查本地依赖、删除package-lock.json中受影响的版本，并使用clean room环境重新安装。Anthropic San Francisco总部同步派出三名安全工程师飞抵波士顿支援。

波士顿华裔IT工程师协会讨论

"波士顿华裔IT"协会约2200名会员，主要由Cambridge、Waltham、Burlington、Seaport的华裔工程师构成。协会周一晚上召开了一场临时在线安全会，约900人在线参与。讨论焦点是三个：一是哪些常用工具链的具体版本受影响，二是企业内部如何在不影响产品发布节奏的前提下完成依赖审查，三是个人开发者机器上的SSH密钥是否需要全部轮换。

Goodwin Procter网络安全部主任Mary Sullivan：企业责任评估

波士顿本地律所Goodwin Procter的网络安全和数据保护部门主任Mary Sullivan周一向客户发出advisory备忘录："企业责任评估是接下来90天的核心任务，特别是受FFIEC、SEC披露规则、HIPAA约束的金融和医疗行业客户。波士顿地区的上市公司有义务在72小时内向监管机构提交事件初步评估。"Goodwin Procter周一晚上已经接到至少14家上市公司的紧急咨询。

State Street CEO Ronald O'Hanley：网络安全开支+45%

波士顿最大本地金融机构State Street CEO Ronald O'Hanley周一向Wall Street Journal记者表态："网络安全开支2026年将比预算增加45%。我们已经把开源依赖审查从年度任务升级到周度任务，所有第三方包的版本固定到经过State Street内部安全团队审核的commit哈希。"State Street管理资产规模超过44万亿美元，是全美最大托管行之一。

新英格兰科技公司全面审查供应链

本案推动新英格兰科技公司对软件供应链的紧急审查。包括HubSpot、Wayfair、Dropbox、Klaviyo在内的多家本地科技公司已经成立专项小组。波士顿VC普遍开始要求被投公司7天内提交"SBOM软件物料清单"。

本案展现开源生态脆弱

本案利用的是开源生态最经典的弱点——单点维护者加长期未审计的依赖。MIT的Lily Wei说："过去十年享受了开源的速度红利，未来十年要补的功课是重新设计依赖信任模型。"