软件供应链恶意组件包频现，字节跳动无恒实验室揭露千余个

字节跳动无恒实验室揭露软件供应链恶意组件包

软件供应链安全，顾名思义，即通过一系列手段确保软件从开发到交付过程中保持安全。随着开源软件的使用量与日俱增，软件供应链安全日益受到重视，然而，与此同时，针对软件供应链的攻击也不断涌现。

近日，字节跳动无恒实验室使用自研第三方恶意软件包检测工具WolfHunter对开源软件包存储库进行检测时，发现PyPi官方源上存在1000+的恶意包，npm官方源上存在200+的恶意包。这些恶意组件包披着开源外衣，伺机向软件供应链注入木马等恶意行为，危害性极大。

开源组件包成黑客攻击温床

在当下的互联网时代，开源软件已成为开发过程不可或缺的利器，因其通常具有免授权费、部署便捷等特点，深受广大软件开发者的喜爱。然而，与之并存的，也有开源组件包的滥用。

黑客往往利用开源组件包的“开放性”，注入恶意代码，例如后门、木马、病毒、漏洞利用、恶意加密挖掘程序等，并将含有恶意代码的组件包上传至公共存储库，诱骗其他开发者下载使用，从而植入后门或窃取敏感信息，严重时甚至可能导致软件系统崩溃。

无恒实验室深度披露恶意软件包

为了更全面地了解软件供应链恶意软件包的现状，字节跳动无恒实验室团队借助WolfHunter工具进行了深度监测与分析，揭露了一批恶意组件包，主要分布在PyPi和npm两个官方源。

1.PyPi恶意软件包：

PyPi是Python编程语言最流行的第三方软件包存储库，拥有超过20万个软件包。

通过WolfHunter的检测，无恒实验室团队在PyPi上发现了1000+个恶意软件包，其中部分恶意包的下载量甚至高达数十万次。这些恶意包主要通过注入后门和木马的方式进行攻击。

2.npm恶意软件包：

npm是JavaScript编程语言最流行的第三方软件包管理器，拥有超过100万个软件包。

在npm官方源上，无恒实验室团队也发现了200+个恶意软件包，这些恶意包主要通过注入恶意加密挖掘程序的方式进行攻击。恶意加密挖掘程序会在受感染的计算机上运行，使用计算机资源挖掘加密货币，从而牟利。

安全保障 与黑客斗智斗勇

面对猖獗的软件供应链攻击，业界已经采取了多种措施来应对。字节跳动无恒实验室作为一家专业的安全研究机构，在该领域拥有多年的研究经验，在过去的数年里一直致力于开发检测工具，强化开源软件安全，目前已取得了丰硕的成果。

1.WolfHunter恶意软件包检测工具：

WolfHunter是一个开源的第三方恶意软件包检测工具，可以对PyPi和npm等公共存储库中的软件包进行安全扫描，帮助开发者识别恶意软件包。

2.无恒实验室积极与开源社区合作：

无恒实验室积极与开源社区合作，通过定期监测和及时披露恶意软件包，提高开源软件的安全水平。同时，无恒实验室也为广大开发者提供安全建议和最佳实践，帮助他们规避软件供应链攻击风险。

结语：安全保障 与黑客斗智斗勇

软件供应链安全是一个复杂而艰巨的课题，需要业界共同努力，构建更加安全的软件生态系统。字节跳动无恒实验室将继续与广大开发者并肩作战，共筑安全防线，护航软件供应链安全。