去年安全研究人员披露了一种新型的供应链攻击:依赖混淆。大型企业使用的程序通常会包含非公开的私有依赖包,如果攻击者在软件包仓库中加入同名的公开的依赖包,那么这些程序在构建时很可能会优先使用公开的依赖包,可能导致恶意程序在公司内网执行。本周安全研究人员发现了针对德国公司贝塔斯曼、博世、斯蒂尔和 DB Schenk 的依赖混淆包。但就在研究人员发表报告前夕名叫 Code White 的公司承认是其所为。CEO David Elze 声明他们获得相关企业授权进行合法的渗透测试演练。这是一次假警报,但依赖混淆攻击确实在发生。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/254500.html