技术报告 – 奇安信技术研究院

【天问】PyPI 恶意包分析：jsonconfig-utils 内置 RAT 后门及多平台持久化

技术报告Python, RAT, 供应链攻击, 恶意代码分析, 持久化 2026年3月2日2026年3月2日

天问Python供应链威胁监测模块发现 PyPI 中存在恶意包 jsonconfig-utils，该包以 JSON 配置工具为掩护，在 setup.py 中内嵌了完整攻击链。攻击者在安装阶段即可完成反沙箱检测、解密并落地 RAT（远程访问木马）载荷、以及跨平台持久化驻留，最终与 C2 服务器建立加密通信，实现对受害主机的远程控制。

天问发现针对CI/CD的PyPI恶意包投毒攻击

技术报告Python, 恶意代码分析 2026年2月27日2026年2月27日

天问监测模块在2026年2月发现了一批针对CI/CD的恶意软件包，通过包名伪装来诱导用户下载，在依赖安装阶段隐蔽执行恶意代码，从而窃取CI运行环境中的构建元数据与敏感环境变量。

星图实验室接棒玄武实验室，完成底层密码学库漏洞的最终修复

动态资讯, 技术报告AI代码分析, 密码学库 2026年1月23日2026年1月26日

星图实验室接棒玄武实验室，完成零知识证明库gnark高危漏洞的最终修复。

【天穹】层层递进，“狐”影随行

技术报告Windows, 天穹沙箱, 银狐家族 2026年1月22日2026年1月22日

近期，天穹沙箱团队在追踪银狐家族的攻击活动时，发现其最新样本采用了高度复杂且极具迷惑性的攻击链。该攻击链通过多阶段反调试检测、伪装合法软件安装、内存反射加载等技术，并结合隐蔽的进程注入与DLL侧载（DLL Side-Loading）等手段，以规避安全检测，实现持久驻留于受害者主机。

【论文分享】被滥用的信任：Windows 代码签名滥用测量研究

学术动态, 技术报告代码签名, 论文分享, 软件供应链安全 2026年1月21日2026年1月21日

奇安信星图实验室联合清华大学、中关村实验室在国际顶会 NDSS 2026 发表研究成果！团队分析超 320 万个恶意样本，构建了全球最大的代码签名滥用数据集（43,286张证书），首次发现"幽灵证书"威胁，系统揭示五大攻击策略。数据集已开源，为软件供应链安全研究提供重要支撑。

【论文分享】从混乱到清晰：面向安全分析的综合性JavaScript反混淆

学术动态, 技术报告JavaScript, 反混淆, 安全分析, 恶意代码分析 2026年1月13日2026年1月13日

奇安信技术研究院星图实验室与北京邮电大学联合研究团队在NDSS 2026会议上发表论文，提出JSIMPLIFIER综合性JavaScript反混淆工具，能够自动破解各种混淆技术，将晦涩的恶意代码还原为安全分析师能够快速理解的清晰形式。

【论文分享】从噪声到信号：如何在千万级软件包中精准定位漏洞影响？

学术动态, 技术报告供应链安全, 论文分享 2026年1月6日2026年1月6日

面对日益复杂的开源生态，我们的研究证明，传统的“版本比对”模式已经难以为继。由现有包级别工具识别出的潜在风险中，高达 68.28% 的漏洞代码实际上从未被调用。

[论文分享]大模型服务框架的缓存相关威胁分析

学术动态, 技术报告大模型 2025年12月30日2025年12月30日

在大模型（LLM）服务极速发展的当下，效率至关重要。为了降低延迟并控制算力成本，主流推理框架广泛引入了先进的缓存机制。然而，这种追求极致速度的设计是否埋下了安全隐患？

【喜报】5篇研究成果被国际顶级会议NDSS 2026录用

动态资讯, 学术动态, 技术报告NDSS 2026 2025年12月24日2026年1月13日

近日，国际顶级学术会议 NDSS 2026（Network and Distributed System Security Symposium）公布录用结果，奇安信技术研究院合作完成的5篇论文成功被录用。NDSS 2026将于2026年2月23日至27日在美国圣地亚哥举办。此次多篇论文被录用，充分展现了奇安信技术研究院在网络安全前沿技术研究领域的深厚实力。

【天穹】压缩包也能“越狱”？天穹沙箱新增目录穿越检测能力

技术报告Windows, 压缩包, 天穹沙箱, 目录穿越 2025年12月12日2025年12月12日

在 Windows 系统中，压缩包（如 RAR、ZIP、7z 等）作为常见的文件分发载体，因其便捷性和通用性被广泛使用。然而，攻击者常利用压缩软件的目录穿越漏洞（如 CVE-2025-8088），通过构造恶意压缩包将恶意载荷写入系统关键路径（如启动项、系统目录等），实现持久化驻留或提权执行。此类攻击隐蔽性强、危害大，且传统静态检测难以有效识别。