《中国民航报》、中国民航网 记者钱擘 通讯员 庄述棉、严婷 报道：近日，"东航数科开源软件治理体 系建设实践"项目，成功入选由中国信息通信研究院联合中国互联网协会发起的"OSCAR开源+安全及风 险治理"典型案例。 中国信息通信研究院联合中国互联网协会发起的"OSCAR开源+安全及风险治理"具有相当高的行业权威 性，东航数科项目此次获评入选典型案例，体现了行业对东航在开源技术融合创新实践领域的高度认 可，也充分展现东航正有效破解开源软件应用中的安全漏洞、合规风险、系统稳定性及兼容性等难题， 从而有力保障软件供应链安全。 东航数科在开源治理体系建设领域的创新实践，通过构建标准化流程框架与自动化工具平台，不仅有效 提升软件供应链全生命周期安全管理水平，更有助于增强旅客对航空数字化服务的可信度与透明度，从 而强化旅客信息安全保障，并且为航空等高监管行业提供了极具价值的范本。（编辑：贾昊天 校对： 李海燕 审核：韩磊） OSCAR是互联网和AI领域重要的开源项目，随着开源软件在技术创新中的应用逐步深化，其潜在的安 全漏洞和合规性风险等问题逐渐显现。为化解挑战，东航数科构建严格的治理框架，依托软件供应链安 全检测平台， ...

网络安全事件分析 - 三个恶意npm软件包针对AI驱动的源代码编辑器Cursor的macOS版本用户进行攻击 总下载量超过3200次 其中sw-cur下载量2771次 sw-cur1下载量307次 aiide-cur下载量163次 [1] - 恶意软件包伪装成提供"最便宜的Cursor API"的开发者工具 通过远程服务器窃取用户凭据并获取加密负载 覆盖Cursor的main.js文件 同时禁用自动更新以保持持续性 [1][4] - 攻击流程包括获取用户Cursor凭据 从远程服务器获取恶意代码 替换合法代码 并重启应用程序使篡改生效 最终允许攻击者在平台环境中执行任意代码 [4][5] 攻击技术细节 - 攻击专门针对macOS系统 通过修改/Applications/Cursor.app/路径下的内部文件如main.js 利用编辑器可信运行时环境执行恶意代码 [8] - 三个软件包共享核心后门逻辑 包括硬编码域名 凭据窃取 加密加载器检索 解密例程和文件补丁序列 仅最终调用方式存在差异 [4] - sw-cur软件包额外采取终止Cursor进程和禁用自动更新的措施 确保恶意代码持续生效 [5] 攻击动机与目标群体 - 攻击者利用开发者对AI的兴趣和寻求廉价访问AI模型的心理 以"最便宜的Cursor API"为诱饵吸引目标用户 [11] - Cursor提供对Claude Gemini GPT-4等大型语言模型的访问 高级模型按次收费(如GPT-4o每次0.3美元) 部分用户可能寻求非官方集成方式降低成本 [11] - 攻击主要针对个人开发者和企业环境 可能造成凭据被盗 代码泄露 恶意软件传播等风险 在企业环境中风险更高 [12][13] 行业趋势与防御建议 - 出现新兴攻击趋势 恶意行为者通过流氓npm软件包修改已安装的合法软件 即使删除恶意库后攻击仍可持续 [14] - 基于补丁的入侵成为新的攻击手段 恶意代码继承应用程序信任 获得API令牌 签名密钥等权限 [14] - 防御需标记可疑软件包行为 结合版本固定 实时依赖项扫描和文件完整性监控 [14] 其他相关发现 - 发现另外两个恶意npm软件包"pumptoolforvolumeandcomment"(下载625次)和"debugdogs"(下载119次) 针对macOS系统窃取加密货币相关数据 [15] - 两个软件包通过Telegram机器人泄露数据 采用"包装器"模式传播 核心恶意代码不变 [15][16]