日前,由奇安信技术研究院、清华大学、东南大学、中国海洋大学和特拉华大学合作完成的论文被国际顶级学术会议IEEE S&P 2023(The 44th IEEE Symposium on Security and Privacy)录用。论文题目是《Investigating Package Related Security Threats in Software Registries》,奇安信技术研究院为第一作者单位。
论文以软件供应链中的海量软件包为分析对象,对npm、PyPI、Maven、Go、NuGet、Cargo等六大开源软件生态开展大规模安全性分析,深入解析了软件包的发布、下载、更新、删除等过程,识别出十二个软件供应链攻击向量,影响多个软件源和镜像站。IEEE S&P是网络与信息安全领域顶级的学术会议,2023年是第44届,将于2023年5月在美国旧金山举办。
软件源(Package Registry)用于托管软件包(package),已经是现代软件开发中不可缺少的一部分,据统计,2021年仅PyPI, npm, Maven和NuGet四个软件源就吸引了2.2万亿次下载。与此同时,针对软件源的软件供应链攻击事件激增650%(2021年),造成巨大的安全威胁。
论文从软件包的生命周期出发(包括软件包的发布、更新、删除、分发等)对软件供应链中的软件源、镜像站、客户端等主要角色,以及相互之间的关系进行了系统性分析。论文发现存在资源重用、资源差异、资源混淆等三大典型问题,在此基础上识别出十二个潜在攻击向量。例如,软件包维护者帐号的绑定邮箱可能使用了过期域名,使得攻击者可通过注册域名控制邮箱,进而取得软件包的控制权(包维护者帐号劫持攻击);GitHub允许项目控制权转移,攻击者可通过注册被删除的GitHub帐号实现下载劫持(包跳转劫持攻击);一些镜像站未能正确处理软件包名称中的大小写字母,使得攻击者可以通过发布一个同名不同大小写的恶意包,劫持用户下载(大小写混淆攻击)等。
为检测上述安全问题,论文设计并实现了RScouter工具,对六大主流开源软件生态进行了为期一年的大规模监测分析,共采集了超过400万个独立软件包,总计5300万个不同版本的软件包。论文发现有16807个包维护者帐号可被攻击者窃取,影响40327个软件包;PyPI和npm各有85192和38496个软件包受到Package Use-After-Free攻击威胁。论文还发现了广为使用的镜像站存在多个安全问题,例如,国内某知名npm镜像站中有数千个包可被大小写混淆攻击,多个镜像站中存在着数以千计的恶意软件包,对镜像站的用户造成威胁。
该项研究由奇安信技术研究院下星图实验室研究团队完成,是“天问”软件供应链安全分析平台相关研究的一部分,平台网址:https://tianwen.qianxin.com/
========= 我 是 分 割 线 =========
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、上海、成都等城市,详情请参见:https://research.qianxin.com/recruitment/