中科院软件所开源生态“中毒”检测取得进展 发现8个Python恶意包

本报北京6月20日电(记者不夜)开源生态“中毒”攻击是指攻击者利用软件供应商和最终用户之间的信任关系，在开发、传播和升级过程中劫持或篡改合法软件，从而达到非法目的的攻击类型。很多开源软件库在设计上强调方便快捷，却忽略了恶意代码检测机制，导致开源生态“中毒”攻击越来越严重。

近日，中科院软件所基于开源软件供应链重大基础设施，实现了对全网开源生态“中毒”攻击的持续监控。在开源软件仓库恶意扩展包检测中，发现Python官方扩展包仓库被恶意上传8个恶意包，707个成功开源项目。

对于Python恶意包的检测，研究团队使用了开源软件供应链主要基础设施的恶意包分析工具进行检测。现在已经检测到Python官方扩展包仓库上传了8个恶意包，其中包含恶意代码，存在巨大的安全隐患，包括窃取隐私信息、数字货币密钥、植入持续性后门、远程控制等一系列攻击。研究团队向PyPI官方举报了在Python平台上发现的8个恶意包，并收到了PyPI官方的感谢信。

对于第三方代码执行后门的扩展包的检测，本文通过开源软件供应链主要基础设施的供应链分析模块来研究检测。检测到707个成功“中毒”的开源项目，其中85个发布在Python官方扩展包仓库，622个发布在Github、GitLab等公共代码托管平台。同时，团队正在向国家信息安全漏洞共享平台、国家信息安全漏洞数据库等安全漏洞管理机构反馈“中毒”成功的707个开源项目，其中17个漏洞已经正式编号。