供应链投毒预警 | 开源供应链投毒202404月报发布（含投毒案例分析）

文章预览

概述 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库，结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获，发现大量的开源组件恶意包投毒攻击事件。在2024年4月份，悬镜供应链安全情报中心在NPM官方仓库（https://www.npmjs.com/）和Pypi官方仓库（https://pypi.org/）上共捕获772个不同版本的恶意组件包，其中NPM仓库投毒占比接近89%， Pypi仓库投毒占比11%；Pypi官方仓库经历3月份遭受集中式投毒后，对新发布组件包进一步加强审查力度，本月Pypi恶意投毒攻击呈现大幅下降趋势。 4月份恶意组件数量及仓库分布 4月份恶意组件每日统计 4月份恶意组件态势统计 针对4月份捕获的恶意投毒组件，我们结合静态规则扫描、源代码审计、动态行为监控等方式进行多方位分析，总结统计投毒组件的攻击方式和恶意行为标签。 攻击方式统计 ………………………………