2021年1月24日，奇安信技术研究院星图实验室自研的天问软件供应链安全分析平台Python供应链威胁监测模块捕获到一批可疑的包，根据天穹沙箱的分析结果，这些包均访问可疑域名deliverycontent[.]online。在捕获到这些可疑的包后，我们立马开展了对其的分析，定位到了这次上传包数量超过1000的“快闪攻击”。

奇安信技术研究院星图实验室利用自研的天问软件供应链安全分析平台，发现了用于传播SysJoker恶意软件的两个npm包`mos-sass-loader`和`css-resources-loader`，两个包均由同一个账号上传至npm公开仓库中, 最早出现时间为2021.10.7。

2021年12月25日，天问Python供应链威胁监测模块全网率先捕获到一个以Discord为攻击目标的恶意Python包，并在后续两周陆续监测到9个攻击Discord的包，在发现这些恶意包之后，我们第一时间向PyPI官方反馈并移除了这些恶意包。

近两周来，天问系统连续捕获了多个针对Discord的攻击包，今日天问系统又捕获了一个恶意包，名为Python5，同样试图攻击Discord。

2022年1月11日，天问Python供应链监测模块再次捕获到一个攻击Discord的包，得益于监测模块的实时性，包上传的第一时间便捕获到其恶意行为发出告警，我们也将该包的信息同步给了官方。

npm供应链攻击手法