開源生態“投毒”攻擊是指攻擊者利用軟件供應商與最終用戶之間的信任關系，在合法軟件的開發、傳播和升級過程中進行劫持或篡改，從而達到非法目的的攻擊類型。許多開源軟件存儲庫在設計時強調方便快捷，卻忽略了惡意代碼檢測機制，從而導致開源生態“投毒”攻擊現象越來越嚴重。 

　　近日，中國科學院軟件研究所（以下簡稱軟件所）智能軟件研究中心團隊（以下簡稱團隊）基于開源軟件供應鏈重大基礎設施，實現了面向全網針對開源生態“投毒”攻擊現象的持續監測，在開源軟件存儲庫進行惡意擴展包檢測中，發現Python官方擴展包倉庫被惡意上傳了8個惡意包及707個被“投毒”成功的開源項目。 

　　對于Python惡意包的檢測，團隊使用開源軟件供應鏈重大基礎設施的惡意包分析工具進行檢測，現已檢測出Python官方擴展包倉庫上傳了8個惡意包，其中包含惡意代碼，存在巨大的安全隱患，包括竊取隱私信息、數字貨幣密鑰、種植持久化后門、遠程控制等一系列攻擊活動。團隊把在Python平臺發現的8個惡意包上報給PyPI官方，并收到PyPI官方感謝信。 

　　對于第三方插入的代碼執行后門的擴展包的檢測，團隊通過開源軟件供應鏈重大基礎設施的供應鏈分析模塊進行檢測。經過檢測，共發現了707個被“投毒”成功的開源項目，其中85個發布在Python官方擴展包倉庫，622個發布在公共代碼托管平臺（Github、GitLab）。同時，團隊也正將707個被“投毒”成功的開源項目反饋給國家信息安全漏洞共享平臺（CNVD）、國家信息安全漏洞庫（CNNVD）等安全漏洞管理機構，其中17漏洞現已獲得正式編號。 

　　為應對開源生態存在的風險，軟件所于2021年起聯合中科南京軟件技術研究院啟動開源軟件供應鏈重大基礎設施，建設國內首個集開源軟件采集存儲、開發測試、集成發布、運維升級等一體化設施,旨在打造全球最大的開源代碼知識圖譜和開源軟件供應鏈體系，以保障我國開源軟件供給安全和產業創新發展。其功能主要包括開源軟件供應鏈關鍵節點分析、開源軟件供應鏈可靠構建、開源軟件可維護性分析、開源軟件及其供應鏈安全分析及開源軟件合規性分析等。開源軟件供應鏈重大基礎設施將推進開源軟件及其供應鏈的自主可控與安全可靠，逐步形成維護與指導開源生態健康發展的能力，有效支撐國內各行業與開源應用場景。 

 開源軟件供應鏈重大基礎設施界面圖 

　　                                                                           惡意包分析工具 

已檢測到的PyPI中8個惡意包