# 供應鏈攻擊殺到埋身!IT狗自保求生指南
有冇發現呢排成日聽到「供應鏈攻擊」呢個 term?上個禮拜 TanStack 俾人 supply chain attack,連 OpenAI 員工部 Macbook 都中埋招,要焗住 macOS update。作為一隻 IT 狗,你可能心諗「關我咩事,我又唔係管 supply chain」。少年,你太天真了。
👉 延伸閱讀:AI 年代 IT 人生存指南:三個令你唔會被淘汰嘅技能
## 供應鏈攻擊點解關你事?
**供應鏈攻擊**唔係淨係物流嗰啲嘢,而係講緊你公司用嘅每一個 third-party library、每一個 npm package、每一個 Docker image、每一個 SaaS tool — 全部都係你嘅「數碼供應鏈」。
試想像:你個 Node.js project 用咗一個 npm package,個 package maintainer 俾人 hack 咗,然後 inject malicious code。你 npm install 嗰下已經中咗招。到時你老細問「點解我哋啲 data leak 咗出去」,你點答?「我唔知喎,個 package 唔係我寫㗎」— 你覺得呢句說話救到你?
## 供應鏈攻擊:現實案例:唔係 FF,真係發生緊
呢兩年 **供應鏈攻擊** 嘅案例多到眼花:
– **TanStack (2026年5月)**:攻擊者 publish 咗 malicious version,target OpenAI 員工,偷 SSO token
– **XZ Utils backdoor (2024)**:差啲就將 SSH backdoor 塞入全球九成 Linux server
– **SolarWinds (2020)**:影響美國政府機構 + Fortune 500,損失數十億美金
– **3CX (2023)**:Desktop app 被 trojanized,影響幾十萬用戶
全部共通點:**唔係你寫得差,而係你信錯咗人**。呢個就係 **供應鏈攻擊** 最陰濕嘅地方。
## 供應鏈攻擊:IT狗自保 Checklist
作為一個負責任嘅 IT 人(或者想保住份工嘅打工仔),以下呢幾樣嘢你要識:
### 供應鏈攻擊:1. SBOM 唔係 optional,係基本
**供應鏈攻擊** 防禦第一關就係要知自己用咗乜。SBOM(Software Bill of Materials)就係你 project 嘅 ingredient list。
# Generate SBOM for npm project
npx @cyclonedx/cyclonedx-npm --output-file sbom.json
# For Docker images
syft your-image:latest -o cyclonedx-json > image-sbom.json
# Scan SBOM for known vulnerabilities
grype sbom:sbom.json### 供應鏈攻擊:2. Lockfile 要 commit,唔好懶
好多人覺得 `package-lock.json` / `yarn.lock` 好煩唔 commit。大佬,唔 commit lockfile 嘅話,你嘅 CI/CD pipeline 每次 build 都可能 download 咗唔同版本嘅 dependency — 呢個係 **供應鏈攻擊** 嘅最佳入口!
# Always commit lockfiles
git add package-lock.json
git commit -m "chore: update lockfile"### 供應鏈攻擊:3. Dependabot / Renovate 要開,但唔好盲目 auto-merge
Auto-merge dependency update 係方便,但一個 compromised package 就可以經 auto-merge 直入 production。建議:
– Minor/Patch 更新:可以 auto-merge(但要睇 changelog)
– Major 更新:一定要人手 review
– 所有來自陌生 maintainer 嘅 package:人手睇 source code
### 供應鏈攻擊:4. Know Your Supply Chain
每個 project onboarding 都要做一次 dependency audit:
# Check your npm dependency tree for suspicious packages
npm ls --depth=10 | grep -i "test\|demo\|sample\|tmp"
# Verify package integrity
npm audit
npm audit signatures見到啲 package 名奇奇怪怪、得幾十個 download、maintainer 個 email 係 gmail.com — 即刻 raise flag。
## 供應鏈攻擊:最後講句真心話
**供應鏈攻擊** 唔係你能力可以防止,但你絕對有能力減低風險。每次你 npm install 一個 package、pull 一個 Docker image,都等同你將公司大門鎖匙交咗俾個陌生人。諗清楚先做,唔好貪方便。
🔗 參考資料:NVD NIST 漏洞資料庫
IT 界有句話:「Trust, but verify。」我嘅版本係:「Never trust, always verify。尤其係 npm。」
#供應鏈攻擊 #SupplyChain #IT安全 #打工仔求生 #資安意識
—
> 📌 **延伸閱讀:**
> – [NGINX漏洞 CVE-2026-42945 防護實戰](https://molious.com/?p=568) — Step-by-step 教你防護 NGINX 漏洞
> – [AI年代 IT人生存指南](https://molious.com/?p=460) — IT人必睇
