【天问】TEA: NPM生态再度陷入垃圾软件包困境

在刚刚结束的2024第二个季度中,npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外,我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大,对npm生态日常运行带来了的额外的负担,并增加了潜在风险发生的可能性。
阅读全文〉

【论文分享】持续集成服务(CI)缓存安全问题研究

本次分享的论文”More Haste, Less Speed: Cache Related Security Threats in Continuous Integration Services“主题是持续集成服务(Continuous Integration,简称CI)的缓存安全。论文由奇安信技术研究院、清华大学和特拉华大学合作完成,被国际顶级网络安全会议S&P 2024接收,并做了专题分享报告。同时,这项工作也是该团队在软件供应链安全领域发表的第三篇学术论文。
阅读全文〉

【天问】xz/liblzma后门影响全网软件测绘分析

2024年3月29日,开发人员在SSH性能调查中发现xz组件中包含后门,影响了liblzma库,并且该后门事件已被分配编号CVE-2024-3094。奇安信技术研究院“天问”软件供应链安全监测平台利用积累的海量软件空间测绘数据,发现开源生态中的若干软件存在使用后门组件的情况,其他系统、软件和固件上暂未发现直接使用后门组件的情况。
阅读全文〉

【天问】PyPI 大规模伪造包名攻击

2024年3月26号,天问Python供应链威胁监测模块发现PyPI中短时间内出现了大量利用包名伪造的恶意包,这些恶意包采用和流行包(例如requests)极其相似的包名来诱导用户下载。这些恶意包会窃取用户隐私信息,并持久化驻留在受害主机中。此次事件中,攻击者所表现的自动化、专业化、组织化值得警惕。
阅读全文〉