中科院软件所开源生态投毒检测获进展

开源生态中的“投毒”攻击现象愈发严重。攻击者利用软件供应商与最终用户之间的信任关系，在合法软件的开发、传播和升级过程中进行劫持或篡改，以此达到非法目的。针对这种情况，中国科学院软件研究所近日实现了针对全网开源生态“投毒”攻击现象的持续监测。

研究团队发现，Python官方扩展包仓库出现了恶意上传的现象，共有8个恶意包被上传，并且已经有707个开源项目被成功“投毒”。这些恶意包中包含了恶意代码，存在巨大的安全隐患，可能导致用户的隐私信息被窃取，数字货币密钥被篡改，甚至可能被种植持久化后门或进行远程控制等一系列攻击活动。

这一发现令人震惊，也凸显了开源生态安全问题的紧迫性。研究团队正在将这一信息反馈给国家信息安全漏洞共享平台、国家信息安全漏洞库等安全漏洞管理机构。其中，已经有17个漏洞获得了正式编号。未来，我们将持续关注这一问题，并呼吁广大开源软件用户和开发者提高警惕，共同维护开源生态的安全稳定。这样的合作和努力将有助于推动整个开源社区向更加安全、可靠的方向发展。