近日,中国科学院软件研究所基于开源软件供应链重大基础设施,实现了面向全 针对开源生态“投毒”攻击现象的持续监测,在开源软件存储库进行恶意扩展包检测中,发现Python官方扩展包仓库被恶意上传了8个恶意包及707个被“投毒”成功的开源项目。
对于Python恶意包的检测,科研团队使用开源软件供应链重大基础设施的恶意包分析工具进行检测,现已检测出Python官方扩展包仓库上传了8个恶意包,其中包含恶意代码,存在巨大的安全隐患,包括窃取隐私信息、数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。研究团队将在Python平台发现的8个恶意包上 给PyPI官方,并收到PyPI官方感谢信。
对于第三方插入的代码执行后门的扩展包的检测,研究通过开源软件供应链重大基础设施的供应链分析模块进行检测。检测发现707个被“投毒”成功的开源项目,其中85个发布在Python官方扩展包仓库,622个发布在Github、GitLab等公共代码托管平台。同时,该团队正将707个被“投毒”成功的开源项目反馈给国家信息安全漏洞共享平台与国家信息安全漏洞库等安全漏洞管理机构,其中17漏洞现已获得正式编 。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!