solidot新版网站常见问题,请点击这里查看。
adv
安全
WinterIsComing(31822)
发表于2022年05月13日 18时09分 星期五
来自达尔文电波
去年安全研究人员披露了一种新型的供应链攻击:依赖混淆。大型企业使用的程序通常会包含非公开的私有依赖包,如果攻击者在软件包仓库中加入同名的公开的依赖包,那么这些程序在构建时很可能会优先使用公开的依赖包,可能导致恶意程序在公司内网执行。本周安全研究人员发现了针对德国公司贝塔斯曼、博世、斯蒂尔和 DB Schenk 的依赖混淆包。但就在研究人员发表报告前夕名叫 Code White 的公司承认是其所为。CEO David Elze 声明他们获得相关企业授权进行合法的渗透测试演练。这是一次假警报,但依赖混淆攻击确实在发生。