在2023年3月，"天问"平台发现了 npm 生态中迄今为止最为恶劣的一次垃圾软件包污染事件。攻击者利用自动化方式在短时间内通过不同的账户发布了超过30万个 npm 垃圾软件包。这些垃圾软件包利用了 npmjs 官网的 Readme 渲染特性和其本身的知名度，为攻击者通过 SEO 牟利、嵌入钓鱼网站进行诈骗攻击等恶意行为提供了机会。

根据“天问”平台的监测分析，在2023年2月份，共发现了261个npm恶意包，其中有攻击者针对Windows平台精心构造了木马病毒。通过一个伪装的程序崩溃页面，诱导用户下载安装包含木马后门的flash安装包。一旦安装运行后，攻击者可以持续地控制受害者主机。

“天问”平台在2023年2月监测到PyPI上一起大批量异常包上传事件，经过综合分析研判，确认这是由Yandex数据泄漏引发的安全事件。

在2023年刚开始的第一个月里，针对npm生态的软件供应链恶意攻击也在持续不断，通过“天问”平台监测分析后，总共发现了537个npm恶意包，其中包含一起利用数据泄漏后的信息进行的供应链攻击事件。

通过天问npm生态监测模块的持续监测分析，我们在2022年度发现了多起针对npm生态的大型软件供应链攻击事件，以及6,924个npm恶意包，这些恶意包按其目的大致可分为四类：信息窃取、反弹shell、后门木马、挖矿病毒。

本次分享的论文“Investigating Package Related Security Threats in Software Registries”主题是软件供应链安全，关注的是主流开源软件生态里与软件包（Package）相关的各种安全问题。论文由奇安信技术研究院、清华大学、东南大学、中国海洋大学和特拉华大学合作完成，已被国际顶级学术会议IEEE S&P‘23（The 44th IEEE Symposium on Security and Privacy）录用。该项研究工作是奇安信技术研究院“天问”软件供应链安全分析平台相关研究的一部分，奇安信技术研究院也是论文的第一作者单位。