2023年第三季度，天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包，它们可以窃取受害者的个人信息，Discord密码，加密货币钱包等敏感信息。分析表明，攻击者会不断迭代更新他们的工具来规避安全检测，这给供应链安全带来了巨大的挑战。

2023年10月11日，curl官方发布了一篇关于curl项目的安全警告，报告指出curl组件存在SOCKS5缓冲区溢出漏洞（CVE-2023-38546）。奇安信技术研究院“天问”软件供应链安全监测平台通过对历史数据进行测绘，发现大量的桌面软件、安卓应用和设备固件使用了curl组件的漏洞版本，同时发现开源生态中的组件也存在直接引用系统中libcurl的情况。对此”天问“平台推出了专用检测工具供用户自查。

近日，谷歌和苹果相继针对自身产品发布漏洞修复建议，这些漏洞被指出是由libwebp组件的基础漏洞引发的。由于该漏洞使用范围广，涉及软件众多，目前仍存在大量尚未修复的软件。“天问”软件供应链安全监测平台通过对历史数据进行测绘，通过对历史数据进行测绘，发现大量的桌面软件、安卓应用、设备固件广泛使用了libwebp的组件，均为该满分漏洞的潜在受害者。

2023年9月26日，奇安信技术研究院"天问"软件供应链安全监测平台注意到npm生态中发生大规模软件供应链投毒行为。攻击者在9月23日至26日期间，累积上传了821个恶意npm包，其主要行为是窃取用户机器的username、hostname和ip信息。并且这些恶意包的名称与angular和react这两个在npm生态中流行的软件包名称极其相似。

本文通过分析近期出现的具有隐私泄漏行为的Moq包与其依赖包Devlooped.SponsorLink的代码，探究其使用.NET Compiler Platform（“Roslyn”）SDK 提供的分析器自动执行代码的原理。并进一步探讨分析器在软件供应链安全上的隐患以及开发过程中可使用的避免措施。

2023年第二季度，天问Python供应链威胁监测模块共捕捉到473个恶意包。我们分析总结了这些恶意包常用的攻击方式及混淆类型，从中我们发现恶意包所使用的混淆工具和混淆方式更加复杂多元化，对于分析检测提出严峻的考验。