https://static.cnbetacdn.com/article/2020/06/e992137d227d262.png

安全研究人员分析过去几年发生的开源软件供应链攻击

2020年05月23日 00:52 次阅读 稿源:solidot 条评论

德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类:其一是在软件产品中植入恶意代码去感染终端用户,此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。

6·18活动已全面开启 大促活动入口汇总:

京东6·18十七周年庆大促主会场入口 - 最高可领618元红包

2020天猫6·18超级红包在此领取 6月1日追加40亿元消费券

阿里云6·18上云年中大促 点击领取最高12000元红包

攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新,这次攻击造成了数十亿美元的损失,是已知最具破坏性的网络攻击之一。

另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户,它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行,此类的攻击日益常见。

78d2e-ccleaner-malware.png

研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包,他们发现 56% 的软件包在安装时触发恶意行为,41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。   

访问:

天翼云高性能云主机1折起 低至74元/年 还有免费试用

立即注册.com域名 为我的品牌代言!

对文章打分

安全研究人员分析过去几年发生的开源软件供应链攻击

2 (40%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    cnbeta 300 250.png

    热门评论

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan