2024年10月31日至11月3日期间，天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中，攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽，并且通过多阶段复杂的恶意攻击向受害用户主机植入后门，并进行持续控制。

在刚刚结束的网络安全国际顶级会议CCS (The ACM Conference on Computer and Communications Security) 2024中，星图实验室共有3篇学术论文在会议中进行了分享报告。

在刚刚结束的2024第二个季度中，npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外，我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大，对npm生态日常运行带来了的额外的负担，并增加了潜在风险发生的可能性。

2024年上半年，天问Python供应链威胁监测模块共捕捉到1000个恶意包。在此期间，两次集中的恶意包攻击事件导致PyPI官方紧急暂停了软件包上传服务。随着攻击者能力的不断提升，对于软件攻击链的安全防护提出了更加严峻的考验。

本次分享的论文”More Haste, Less Speed： Cache Related Security Threats in Continuous Integration Services“主题是持续集成服务（Continuous Integration，简称CI）的缓存安全。论文由奇安信技术研究院、清华大学和特拉华大学合作完成，被国际顶级网络安全会议S&P 2024接收，并做了专题分享报告。同时，这项工作也是该团队在软件供应链安全领域发表的第三篇学术论文。

2024年3月29日，开发人员在SSH性能调查中发现xz组件中包含后门，影响了liblzma库，并且该后门事件已被分配编号CVE-2024-3094。奇安信技术研究院“天问”软件供应链安全监测平台利用积累的海量软件空间测绘数据，发现开源生态中的若干软件存在使用后门组件的情况，其他系统、软件和固件上暂未发现直接使用后门组件的情况。