本文通过分析近期出现的具有隐私泄漏行为的Moq包与其依赖包Devlooped.SponsorLink的代码，探究其使用.NET Compiler Platform（“Roslyn”）SDK 提供的分析器自动执行代码的原理。并进一步探讨分析器在软件供应链安全上的隐患以及开发过程中可使用的避免措施。

2023年第二季度，天问Python供应链威胁监测模块共捕捉到473个恶意包。我们分析总结了这些恶意包常用的攻击方式及混淆类型，从中我们发现恶意包所使用的混淆工具和混淆方式更加复杂多元化，对于分析检测提出严峻的考验。

2023年第二季度，天问Python供应链威胁监测模块共捕捉到473个恶意包。我们细致地分析这些恶意包，并对其常用的攻击方式及混淆类型进行了归纳总结。其中有两类较为突出的有组织的恶意包发布事件，WhiteSnake和BlackCap Grabber。

2023年2月，天问Python供应链威胁监测模块监测到PyPI出现软件包大规模删除事件，经过细致调研，我们发现两起大规模的安全事件。一是攻击者在短时间内向PyPI发布了5362个相同内容的恶意包，这些恶意包通过PowerShell代码下载恶意exe并进行执行，严重影响了软件源的安全。二是用户滥用PyPI的存储和下载功能，向PyPI上传了大量包含版权存疑的电子书的软件包，这起滥用事件持续时间将近3年之久，对于PyPI的可用性和稳定性造成了很大的威胁。

本次分享的论文“Continuous Intrusion： Characterizing the Security of Continuous Integration Services”主题是持续集成服务（Continuous Integration，简称CI）的安全，关注的是广为使用的CI服务中存在的安全问题。论文由奇安信技术研究院、清华大学和特拉华大学合作完成，已被IEEE S&P‘23录用，也是该团队在S&P‘23上发表的第二篇软件供应链安全的论文。

在2023年3月，"天问"平台发现了 npm 生态中迄今为止最为恶劣的一次垃圾软件包污染事件。攻击者利用自动化方式在短时间内通过不同的账户发布了超过30万个 npm 垃圾软件包。这些垃圾软件包利用了 npmjs 官网的 Readme 渲染特性和其本身的知名度，为攻击者通过 SEO 牟利、嵌入钓鱼网站进行诈骗攻击等恶意行为提供了机会。