近日，第33届软件测试与分析国际研讨会（The 33rd ACM SIGSOFT International Symposium on Software Testing and Analysis，ISSTA 2024）录用结果揭晓，实验室博士生余泽亮（导师文明副教授）的论文 “Maltracker: A Fine-Grained NPM Malware Tracker Copiloted by LLM-Enhanced Dataset”被录用。

Node Package Manager（NPM，NodeJS包管理和分发工具）中大量恶意包对终端用户构成了重大安全风险。现有基于学习的方法展现出了不错的效果，但仍存在两个主要局限性。首先，它们通常利用元数据特征或在包级别提取的粗粒度代码特征，没有考虑复杂的代码语义。其次，用于训练模型的数据集在数量和多样性方面往往不够丰富。为了解决这些问题，研究引入了Maltracker，一种基于细粒度特征和增强数据集的学习型NPM恶意软件检测工具。首先，Maltracker通过代码分析提取细粒度特征，构建调用图以提取可到达预定义敏感API集合的可疑函数，然后利用社区检测算法基于程序依赖图识别可疑代码片段，从中提取细粒度特征。另外，研究使用大语言模型将其他语言的恶意函数翻译为JavaScript扩展数据集。研究评估显示，Maltracker在包级别的F1分数方面相比最先进的学习方法提高了约12.6%，在函数级别提高了31%。Maltracker还在NPM中检测到了230个新的恶意包，其中一些包含了现有工具无法检测到的新恶意行为。

ISSTA是软件工程领域的重要国际会议，也是中国计算机学会（CCF）推荐的A类会议。本年度该会议的录取率约为20.6%。

（通讯员：余泽亮）