DaveC
@davecode
說
Mon, Mar 8, 2021 2:23 AM
15
15
A new type of supply-chain attack with serious conse...
REF
上個月,安全研究員 Alex Birsan 披露了一種新型的供應鏈攻擊:依賴混淆。他發現大企業使用的程序通常會包含非公開的私有依賴包,如果在軟件包倉庫中加入同名的公開的依賴包,那麼這些程序在構建時很可能會優先使用公開的依賴包,可能導致惡意程序在公司內網執行。過去一週,包括蘋果、微軟和特斯拉在內的數十家企業成為依賴混淆供應鏈攻擊的目標。npm 和 PyPi 開源代碼倉庫湧入了超過五千個概念驗證攻擊包。安全公司擔心未來類似的現象將會有增無減。
+
奇客Solidot | 最近披露的依赖混淆供应链攻击开始大量增加
DaveC
@davecode
說
Mon, Mar 8, 2021 7:50 AM
+ Poison packages - “Supply Chain Risks” user hits Python community with 4000 fake modules
Poison packages – “Supply Chain Risks” user hits Pyt...
DaveC
@davecode
說
Tue, Mar 9, 2021 1:12 AM
這攻擊 2017/11 就開始了。一些網站使用外掛,外掛被攻入修改。
連上有問題網站的 user , cpu load 就異常升高。
載入新的回覆
REF
上個月,安全研究員 Alex Birsan 披露了一種新型的供應鏈攻擊:依賴混淆。他發現大企業使用的程序通常會包含非公開的私有依賴包,如果在軟件包倉庫中加入同名的公開的依賴包,那麼這些程序在構建時很可能會優先使用公開的依賴包,可能導致惡意程序在公司內網執行。過去一週,包括蘋果、微軟和特斯拉在內的數十家企業成為依賴混淆供應鏈攻擊的目標。npm 和 PyPi 開源代碼倉庫湧入了超過五千個概念驗證攻擊包。安全公司擔心未來類似的現象將會有增無減。
+奇客Solidot | 最近披露的依赖混淆供应链攻击开始大量增加
連上有問題網站的 user , cpu load 就異常升高。