安全研究人員分析過去幾年發生的開源軟件供應鏈攻擊
德國和法國的研究人員在預印本網站arXiv上發表論文(PDF),分析了過去幾年發生的開源軟件供應鏈攻擊。軟件供應鏈攻擊有兩類:其一是在軟件產品中植入惡意代碼去感染終端用戶,此類攻擊的一個著名例子是發生在烏克蘭的NotPetya勒索軟件攻擊。
攻擊者入侵了烏克蘭流行會計軟件的更新服務器釋出了惡意更新,這次攻擊造成了數十億美元的損失,是已知最具破壞性的網絡攻擊之一。
另一個例子是CCleaner 的惡意版本通過官網傳播給終端用戶,它在長達一個多月時間裡被下載了230 萬次。另一類軟件供應鏈攻擊是向軟件產品的依賴包植入惡意代碼。隨著開源軟件開發模式的流行,此類的攻擊日益常見。
研究人員分析了npm、PyPI 和RubyGems 軟件包管理系統發現的174 個惡意依賴包,他們發現56% 的軟件包在安裝時觸發惡意行為,41% 使用額外的條件去判斷是否運行。61% 的惡意軟件包利用了名字相似性向開源生態系統植入惡意包。攻擊者的主要目的是析取數據。