近期，奇安信星图实验室供应链安全团队发现了一起滥用Replit [1]服务来进行门罗币挖矿的事件，攻击者利用GitHub Action平台实现了完全自动化的挖矿程序部署。Replit是一个提供在线集成代码运行环境的服务，可以将多种语言的程序直接运行在该网站的线上实例容器中，攻击者正是利用其免费的资源来进行挖矿。利用线上CI/CD服务将攻击流程完全自动化是此种攻击模式的新颖之处。

2022年5月至7月，npm生态中发生了一起大规模供应链挖矿软件投毒的事件，攻击者在这两个月内上传了2,500多个含挖矿程序的npm包。攻击者实现了npm账号注册和包发布流程的完全自动化，同时也绕过了npm的双因子认证防御机制。奇安信星图实验室在持续监测npm生态过程中捕获到了这些含有挖矿程序的npm包，通过深入分析，我们挖掘出了攻击者自动化发布npm包的手段和原理。截止2022年7月12日，我们发现该攻击者已累计上传了2,520个含有挖矿程序的npm包，且该攻击活动还在持续活跃中。

2022年6月28日，天问Python供应链监测模块捕获到一个typosquat包python-dateutils，与常用的Python时间处理模块python-dateutil区别仅为最后的s。经过分析，其实际为恶意挖矿脚本。

在过去的一个多月时间里（2022.4.19至2022.5.31），奇安信技术研究院星图实验室自研的npm监测模块捕获了228个npm恶意包，这些恶意包的行为大多都是获取用户本地的敏感信息并回传，攻击者通过自动化的方式，发布大量的此类恶意包来对目标进行探测，所获取的信息为攻击者的下一步攻击行为提供参考。恶意包的具体列表附于文末表格。

2022年5月份，天问Python供应链威胁监测模块共捕捉到44个恶意包，并于发现后立马反馈PyPI官方，通知维护者将这些包删除。根据这些恶意包的行为，它们可被分为三类：恶意文件下载执行类、Typosquatting类、可疑链接访问/敏感信息回传类。

2022年5月23日，fastjson 官方发布安全通报，1.2.80及以下版本存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击，漏洞等级为高危，风险影响较大。