软件供应链攻击,一种通过污染合法软件植入后门的威胁,正从偶发恐怖故事演变为每周新闻。背后的黑手是犯罪组织TeamPCP,他们已搅动整个开源生态,将数百个流行工具变成勒索筹码。
TeamPCP在黑客论坛BreachForums上公开叫卖GitHub的源代码,声称已入侵约4000个仓库。GitHub官方证实,确已发现至少3800个受感染仓库,但强调均为GitHub自身代码,不涉及客户项目。这起事件不过是TeamPCP长期攻击行动的冰山一角。
专注于供应链安全的公司Socket披露,过去几个月内,TeamPCP已发起超过20轮攻击,将恶意代码埋入500多个不同软件包中。若算上劫持后的不同版本,感染数量已破千。这种高频次、大规模的攻击手法,令整个软件构建链条的不信任感空前蔓延。
面对这股恶意代码浪潮,安全社区开始反思“如何安全使用开源”。安全公司Wiz提出了“更新年龄门控”策略:对安全更新放心安装,但对待新发布的、来源可疑的依赖,则需强制“冷静期”。Wiz在一次攻击中仅用数分钟便检测到入侵,但许多开启自动更新的用户已中招。Socket总结道:“信任但验证”的底线是——在代码运行前必须分析,因为一旦触及机器,为时已晚。
这场由TeamPCP掀起的风暴,或许预示着开源软件“无限信任”时代的终结。对于开发者而言,每一次npm install都可能变成一次赌博。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,可联系本站进行二次审核删除:fireflyrqh@163.com。
