在2023年刚开始的第一个月里，针对npm生态的软件供应链恶意攻击也在持续不断，通过“天问”平台监测分析后，总共发现了537个npm恶意包，其中包含一起利用数据泄漏后的信息进行的供应链攻击事件。

通过天问npm生态监测模块的持续监测分析，我们在2022年度发现了多起针对npm生态的大型软件供应链攻击事件，以及6,924个npm恶意包，这些恶意包按其目的大致可分为四类：信息窃取、反弹shell、后门木马、挖矿病毒。

本次分享的论文“Investigating Package Related Security Threats in Software Registries”主题是软件供应链安全，关注的是主流开源软件生态里与软件包（Package）相关的各种安全问题。论文由奇安信技术研究院、清华大学、东南大学、中国海洋大学和特拉华大学合作完成，已被国际顶级学术会议IEEE S&P‘23（The 44th IEEE Symposium on Security and Privacy）录用。该项研究工作是奇安信技术研究院“天问”软件供应链安全分析平台相关研究的一部分，奇安信技术研究院也是论文的第一作者单位。

2022年，天问Python供应链威胁监测模块共捕捉到22,076个恶意包，对于分析确认的恶意包我们第一时间反馈PyPI官方，通知维护者将这些包删除。根据恶意包的攻击行为，我们将其归为四类：信息窃取类，Discord webhook类，恶意脚本下载执行类和typosquatting类。

近期，奇安信星图实验室供应链安全团队发现了一起滥用Replit [1]服务来进行门罗币挖矿的事件，攻击者利用GitHub Action平台实现了完全自动化的挖矿程序部署。Replit是一个提供在线集成代码运行环境的服务，可以将多种语言的程序直接运行在该网站的线上实例容器中，攻击者正是利用其免费的资源来进行挖矿。利用线上CI/CD服务将攻击流程完全自动化是此种攻击模式的新颖之处。

2022年5月至7月，npm生态中发生了一起大规模供应链挖矿软件投毒的事件，攻击者在这两个月内上传了2,500多个含挖矿程序的npm包。攻击者实现了npm账号注册和包发布流程的完全自动化，同时也绕过了npm的双因子认证防御机制。奇安信星图实验室在持续监测npm生态过程中捕获到了这些含有挖矿程序的npm包，通过深入分析，我们挖掘出了攻击者自动化发布npm包的手段和原理。截止2022年7月12日，我们发现该攻击者已累计上传了2,520个含有挖矿程序的npm包，且该攻击活动还在持续活跃中。