黑客已攻破数十款流行开源包,供应链攻击仍在持续升级!
编者按:最近,一场针对软件开发者依赖的开源项目的网络攻击正在持续蔓延,黑客通过攻陷开发者账号,植入恶意更新,窃取密码管理器等敏感凭证,进而扩散恶意软件。这不仅是技术层面的漏洞,更是对整个开源生态信任体系的严峻挑战。本文将带您了解这一最新攻击案例,提醒开发者提高警惕,并思考如何加固供应链安全防线。
在一场持续的网络攻击中,黑客攻陷了多个全球软件开发者普遍依赖的流行开源项目。
周二,网络安全公司StepSecurity和SafeDep警告称,最新一波的供应链攻击旨在渗透流行开源项目的开发者,利用他们的访问权限植入恶意更新,进而推送给下游用户。
据SafeDep透露,黑客接管了一名开发者的账号,并在约20分钟内发布了317个软件包中的630多个恶意版本。攻击的目标是窃取各种服务的凭证,包括密码管理器,以此窃取数据并继续传播恶意软件。
在黑客攻陷的软件包中,包括阿里巴巴开发的Antv库。据JFrog Security称,在某些情况下,黑客在GitHub上发布了恶意更新。
这一波最新攻击是一场针对开源项目及其代码使用者的更广泛行动的一部分。研究人员将此次攻击称为“Mini Shai-Hulud”,因为它紧随此前一次更大规模的黑客活动之后。
上周,在“Mini Shai-Hulud”攻击的另一波浪潮中,黑客在攻陷开源库TanStack后,入侵了两名OpenAI员工的计算机。OpenAI只是此次攻击的众多受害者之一。
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/kx/39915.html
