(相關資料圖)
近日,中科院軟件研究所(以下簡稱軟件所)智能軟件研究中心團隊(以下簡稱團隊)基于開源軟件供應鏈重大基礎設施,實現面向全網針對開源生態“投毒”攻擊現象的持續監測。團隊在開源軟件存儲庫惡意擴展包檢測中,發現Python官方擴展包倉庫被惡意上傳了8個惡意包及707個被成功“投毒”的開源項目。
所謂開源生態“投毒”,指的是攻擊者利用軟件供應商與最終用戶之間的信任關系,在合法軟件的開發、傳播和升級過程中進行劫持或篡改,從而達到非法目的的攻擊。
當前,有超過99%的商業軟件包含開源軟件,一旦具有大規模用戶基礎的開源軟件存在安全漏洞,勢必會影響整個軟件產業甚至其他重要行業的供應鏈安全。因此,針對開源軟件生產、分發、使用全過程的風險管理尤為重要。
“開源生態下,軟件數量非常龐大,同時單個軟件的代碼規模也很大。這就使得過去基于規則的檢測工具面臨沉重的運行負擔。而且,這些工具的檢測目標比較寬泛,難以針對‘投毒’攻擊進行精準打擊。”軟件所研究員、開源軟件供應鏈重大基礎設施技術負責人吳敬征解釋道。
為此,團隊自主研發了一種新型的惡意包分析工具。在Python惡意包的檢測中,他們發現Python官方擴展包倉庫被上傳了8個惡意包,其中包含了惡意代碼,存在巨大的安全隱患,比如竊取隱私信息、“種植”持久化后門、遠程控制等一系列攻擊活動。團隊已經把8個惡意包上報給官方。
此外,團隊還發現了707個被“投毒”成功的開源項目,其中85個發布在Python官方擴展包倉庫,622個發布在公共代碼托管平臺。目前,團隊已將這707個開源項目反饋給安全漏洞管理機構,其中17個漏洞已獲得正式編號。(胡珉琦)
營業執照公示信息