(相關(guān)資料圖)

近日，中科院軟件研究所（以下簡(jiǎn)稱軟件所）智能軟件研究中心團(tuán)隊(duì)（以下簡(jiǎn)稱團(tuán)隊(duì)）基于開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施，實(shí)現(xiàn)面向全網(wǎng)針對(duì)開(kāi)源生態(tài)“投毒”攻擊現(xiàn)象的持續(xù)監(jiān)測(cè)。團(tuán)隊(duì)在開(kāi)源軟件存儲(chǔ)庫(kù)惡意擴(kuò)展包檢測(cè)中，發(fā)現(xiàn)Python官方擴(kuò)展包倉(cāng)庫(kù)被惡意上傳了8個(gè)惡意包及707個(gè)被成功“投毒”的開(kāi)源項(xiàng)目。

所謂開(kāi)源生態(tài)“投毒”，指的是攻擊者利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系，在合法軟件的開(kāi)發(fā)、傳播和升級(jí)過(guò)程中進(jìn)行劫持或篡改，從而達(dá)到非法目的的攻擊。

當(dāng)前，有超過(guò)99%的商業(yè)軟件包含開(kāi)源軟件，一旦具有大規(guī)模用戶基礎(chǔ)的開(kāi)源軟件存在安全漏洞，勢(shì)必會(huì)影響整個(gè)軟件產(chǎn)業(yè)甚至其他重要行業(yè)的供應(yīng)鏈安全。因此，針對(duì)開(kāi)源軟件生產(chǎn)、分發(fā)、使用全過(guò)程的風(fēng)險(xiǎn)管理尤為重要。

“開(kāi)源生態(tài)下，軟件數(shù)量非常龐大，同時(shí)單個(gè)軟件的代碼規(guī)模也很大。這就使得過(guò)去基于規(guī)則的檢測(cè)工具面臨沉重的運(yùn)行負(fù)擔(dān)。而且，這些工具的檢測(cè)目標(biāo)比較寬泛，難以針對(duì)‘投毒’攻擊進(jìn)行精準(zhǔn)打擊?！避浖芯繂T、開(kāi)源軟件供應(yīng)鏈重大基礎(chǔ)設(shè)施技術(shù)負(fù)責(zé)人吳敬征解釋道。

為此，團(tuán)隊(duì)自主研發(fā)了一種新型的惡意包分析工具。在Python惡意包的檢測(cè)中，他們發(fā)現(xiàn)Python官方擴(kuò)展包倉(cāng)庫(kù)被上傳了8個(gè)惡意包，其中包含了惡意代碼，存在巨大的安全隱患，比如竊取隱私信息、“種植”持久化后門(mén)、遠(yuǎn)程控制等一系列攻擊活動(dòng)。團(tuán)隊(duì)已經(jīng)把8個(gè)惡意包上報(bào)給官方。

此外，團(tuán)隊(duì)還發(fā)現(xiàn)了707個(gè)被“投毒”成功的開(kāi)源項(xiàng)目，其中85個(gè)發(fā)布在Python官方擴(kuò)展包倉(cāng)庫(kù)，622個(gè)發(fā)布在公共代碼托管平臺(tái)。目前，團(tuán)隊(duì)已將這707個(gè)開(kāi)源項(xiàng)目反饋給安全漏洞管理機(jī)構(gòu)，其中17個(gè)漏洞已獲得正式編號(hào)。（胡珉琦）