近日,由复旦大学、奇安信技术研究院、清华大学合作完成的论文被国际顶级学术会议 ICSE 2025(IEEE/ACM International Conference on Software Engineering)录用。
论文题目是《Exposing the Hidden Layer: Software Repositories in the Service of SEO Manipulation》,奇安信技术研究院是共同完成单位。
与传统恶意软件包不同,本文揭示了一种新型攻击模式——”通过软件仓库实施黑帽搜索引擎优化攻击(RepSEO)”。攻击者通过精心构造软件包操纵搜索引擎的结果,利用软件仓库的公信力为非法网站引流。
研究首次系统解析了RepSEO地下产业链生态,识别出账号供应商、广告主与内容发布者等核心角色。我们开发了高效检测工具,并应用于npm、Docker Hub和NuGet平台长达十年的软件仓库数据,惊人地发现了3,801,682个恶意软件包,揭示了该攻击的规模化特征。研究深入剖析攻击者的供应链渗透策略:通过自建邮件服务进行账号注册、采用多级跳转隐藏目标页面、激进攻击者运用快速部署技术等。同时揭示了攻击背后的商业逻辑,识别出问卷调查类与恶意软件分发类两类主要广告主。我们已向npm、NuGet、Docker Hub报告RepSEO软件包及涉及的Google供应链漏洞,并获得官方确认。截至本文提交,各软件仓库已开始清理相关恶意包。为促进领域研究,我们已开源代码与数据集。
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、南京、成都等城市,详情请参见:https://research.qianxin.com/recruitment/