供應鏈攻擊

全球開源軟件生態在 2026 年 3 月接連遭遇兩宗嚴重供應鏈攻擊，令超過 10,000 間企業的憑證、雲端金鑰及開發環境陷入洩密風險，黑客組織 TeamPCP 於 3 月 19 日入侵 Aqua Security 旗下漏洞掃描器 Trivy，並在數日內橫向攻陷 Checkmarx 的 KICS、LiteLLM 及 Telnyx 等項目；緊接於 3 月 31 日與北韓關連的 UNC1069 透過社交工程劫持 npm 熱門套件 Axios 的維護者帳戶，將遙距存取木馬注入合法版本。多名資訊安全業界主管警告，事件影響將持續數月，並代表供應鏈攻擊進入以開發者為核心的新階段。

隸屬伊朗情報與安全部（MOIS）的黑客組織 MuddyWater 自 2026 年 2 月初起已滲透多間美國企業內部網絡。受影響機構包括 1 間銀行、1 間軟件公司及 1 個機場。美國與以色列於 2 月 28 日聯合發動代號 Operation Epic Fury 軍事行動打擊伊朗，該組織活動近日明顯加劇。