近日,中科院软件所基于开源软件供应链重大基础设施,实现了对全网开源生态“中毒”攻击的持续监控。在开源软件仓库恶意扩展包检测中,发现Python官方扩展包仓库被恶意上传8个恶意包,707个成功开源项目。
对于Python恶意包的检测,研究团队使用了开源软件供应链主要基础设施的恶意包分析工具进行检测。现在已经检测到Python官方扩展包仓库上传了8个恶意包,其中包含恶意代码,存在巨大的安全隐患,包括窃取隐私信息、数字货币密钥、植入持续性后门、远程控制等一系列攻击。研究团队向PyPI官方举报了在Python平台上发现的8个恶意包,并收到了PyPI官方的感谢信。
对于第三方代码执行后门的扩展包的检测,本文通过开源软件供应链主要基础设施的供应链分析模块来研究检测。检测到707个成功“中毒”的开源项目,其中85个发布在Python官方扩展包仓库,622个发布在Github、GitLab等公共代码托管平台。同时,团队正在向国家信息安全漏洞共享平台、国家信息安全漏洞数据库等安全漏洞管理机构反馈“中毒”成功的707个开源项目,其中17个漏洞已经正式编号。
留言 0