(相關資料圖)

近日，中科院軟件研究所（以下簡稱軟件所）智能軟件研究中心團隊（以下簡稱團隊）基于開源軟件供應鏈重大基礎設施，實現(xiàn)面向全網針對開源生態(tài)“投毒”攻擊現(xiàn)象的持續(xù)監(jiān)測。團隊在開源軟件存儲庫惡意擴展包檢測中，發(fā)現(xiàn)Python官方擴展包倉庫被惡意上傳了8個惡意包及707個被成功“投毒”的開源項目。

所謂開源生態(tài)“投毒”，指的是攻擊者利用軟件供應商與最終用戶之間的信任關系，在合法軟件的開發(fā)、傳播和升級過程中進行劫持或篡改，從而達到非法目的的攻擊。

當前，有超過99%的商業(yè)軟件包含開源軟件，一旦具有大規(guī)模用戶基礎的開源軟件存在安全漏洞，勢必會影響整個軟件產業(yè)甚至其他重要行業(yè)的供應鏈安全。因此，針對開源軟件生產、分發(fā)、使用全過程的風險管理尤為重要。

“開源生態(tài)下，軟件數(shù)量非常龐大，同時單個軟件的代碼規(guī)模也很大。這就使得過去基于規(guī)則的檢測工具面臨沉重的運行負擔。而且，這些工具的檢測目標比較寬泛，難以針對‘投毒’攻擊進行精準打擊?！避浖芯繂T、開源軟件供應鏈重大基礎設施技術負責人吳敬征解釋道。

為此，團隊自主研發(fā)了一種新型的惡意包分析工具。在Python惡意包的檢測中，他們發(fā)現(xiàn)Python官方擴展包倉庫被上傳了8個惡意包，其中包含了惡意代碼，存在巨大的安全隱患，比如竊取隱私信息、“種植”持久化后門、遠程控制等一系列攻擊活動。團隊已經把8個惡意包上報給官方。

此外，團隊還發(fā)現(xiàn)了707個被“投毒”成功的開源項目，其中85個發(fā)布在Python官方擴展包倉庫，622個發(fā)布在公共代碼托管平臺。目前，團隊已將這707個開源項目反饋給安全漏洞管理機構，其中17個漏洞已獲得正式編號。（胡珉琦）