开源软件供应链正在遭遇新的安全威胁。网络安全机构StepSecurity披露,代号为ForceMemo的恶意程序自2026年3月起,通过一条设计周密的攻击链渗透Python开源社区。与常见的入侵方式不同,此次攻击把目标直接指向软件开发的关键环节——代码托管平台,反映出数字犯罪正向技术基础设施更深处延伸。
供应链安全的核心在于“信任的可靠性”。当攻击者能够通过窃取令牌改写代码历史、再借助链上信息动态下发指令时,单点防护很难覆盖全链路风险。只有把好开发工具入口、管住关键分支与令牌权限,并建立可追溯的构建与发布链条,才能在开源协作与快速迭代的节奏下,稳住软件生态的安全底座。