DaveC 說
A new type of supply-chain attack with serious conse...
REF
上個月,安全研究員 Alex Birsan 披露了一種新型的供應鏈攻擊:依賴混淆。他發現大企業使用的程序通常會包含非公開的私有依賴包,如果在軟件包倉庫中加入同名的公開的依賴包,那麼這些程序在構建時很可能會優先使用公開的依賴包,可能導致惡意程序在公司內網執行。過去一週,包括蘋果、微軟和特斯拉在內的數十家企業成為依賴混淆供應鏈攻擊的目標。npm 和 PyPi 開源代碼倉庫湧入了超過五千個概念驗證攻擊包。安全公司擔心未來類似的現象將會有增無減。
+奇客Solidot | 最近披露的依赖混淆供应链攻击开始大量增加
REF
上個月,安全研究員 Alex Birsan 披露了一種新型的供應鏈攻擊:依賴混淆。他發現大企業使用的程序通常會包含非公開的私有依賴包,如果在軟件包倉庫中加入同名的公開的依賴包,那麼這些程序在構建時很可能會優先使用公開的依賴包,可能導致惡意程序在公司內網執行。過去一週,包括蘋果、微軟和特斯拉在內的數十家企業成為依賴混淆供應鏈攻擊的目標。npm 和 PyPi 開源代碼倉庫湧入了超過五千個概念驗證攻擊包。安全公司擔心未來類似的現象將會有增無減。
+奇客Solidot | 最近披露的依赖混淆供应链攻击开始大量增加