最近披露的依赖混淆供应链攻击开始大量增加

3 years ago

source link: https://www.solidot.org/story?sid=67128
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

WinterIsComing (31822)发表于 2021年03月07日 17时41分星期日新浪微博分享豆瓣分享人人分享 来自部门

上个月，安全研究员 Alex Birsan 披露了一种新型的供应链攻击：依赖混淆。他发现大企业使用的程序通常会包含非公开的私有依赖包，如果在软件包仓库中加入同名的公开的依赖包，那么这些程序在构建时很可能会优先使用公开的依赖包，可能导致恶意程序在公司内网执行。过去一周，包括苹果、微软和特斯拉在内的数十家企业成为依赖混淆供应链攻击的目标。npm 和 PyPi 开源代码仓库涌入了超过五千个概念验证攻击包。安全公司担心未来类似的现象将会有增无减。

Recommend

最近披露的依赖混淆供应链攻击开始大量增加

最近披露的依赖混淆供应链攻击开始大量增加

Recommend

问下大家优秀的开源项目必须具备哪几个指标？

Feature Update: Promotion Events, Zoom integration and more

【.NET 与树莓派】让喇叭播放音乐

算法的通俗解释（3）知道这四种场景就够了

一次羞愧难当的阿里前端笔试经历，本次换工作不会再寻求任何阿里工作机会！

A Beginner's Guide to Using Google Ads - pontikis.net

k8s网络学习（4）——Service的艺术

In-Depth Research of Instagram Posts with #Coronavirus Hashtag

地产和消费的脱节：本轮复苏有何不同？

How Amazon Assistant lets Amazon track your every move on the web

About Joyk