本周，天问Python供应链威胁监测模块共捕捉到14个恶意包，并于它们上传之后立马反馈PyPI官方，通知维护者将这些包删除。由于天问系统及时检测并发现了这些恶意包，他们在被上传到被删除之间都只被下载了几百次，避免这些恶意包攻击扩散。

boto3 恶意包代码分析

2021年11月16日，天问软件空间测绘系统捕获到在npmjs源中新上传了一个名为”@zenhomes/frontend-dev-login“的包，其版本号为”9999.999.3“，该包中的恶意代码触发了监测系统的实时预警。一经发现，安全研究人员立即进行了分析，并上报了npm社区。

北京时间2021-10-22周五晚20:15，一个周下载量超过700万的npm包`ua-parser-js` 遭到投毒攻击，疑似维护者账号由于密码泄露或者被爆破而发生劫持。

昨天，国外安全研究员[Tim Perry](https://twitter.com/pimterry)披露了一个NPM包 `pac-resolver`的高危漏洞，该漏洞可以让攻击者构建包含恶意代码的pac文件，而该文件中恶意代码可以在Node.js进程中运行。

2021年12月22日，天问平台“天蚕3.0-log4j2漏洞离线专查版”更新了，在支持（CVE-2021-44228）漏洞检测的基础上，另外支持检测log4j（CVE-2021-45046、CVE-2021-45105）两个漏洞。