<正>开源生态“投毒”攻击是指攻击者利用软件供应商与最终用户之间的信任关系，在合法软件的开发、传播和升级过程中进行劫持或篡改，从而达到非法目的的攻击类型。许多开源软件存储库在设计时强调方便快捷，忽略恶意代码检测机制，导致开源生态“投毒”攻击现象愈加严重。近日，中国科学院软件研究所智能软件研究中心团队基于开源软件供应链重大基础设施，实现了面向全网针对开源生态“投毒”攻击现象的持续监测，在开源软件存储库进行恶意扩展包检测中，发现Python官方扩展包仓库被恶意上传了8个恶意包及707个被“投毒”成功的开源项目。