Supply-chain attacks on open source software are getting out of hand
10 months ago
- #npm-security
- #supply-chain-attack
- #open-source
- 供应链攻击针对公共仓库中的开源软件,通过入侵开发者账户分发恶意软件包。
- 10个与Toptal相关的恶意JavaScript包在npm上被5000名用户下载后,才被发现并移除。
- 攻击者入侵Toptal的GitHub组织发布恶意npm包,可能通过GitHub Actions或存储的npm令牌实现。
- 由于缺乏更多取证证据,攻击方式及GitHub变更与npm发布间的关联仍不明确。
- 恶意软件包中的有效载荷窃取GitHub身份验证令牌,并试图删除目标文件系统。
- 无法对所有程序使用前进行检查,暴露了信任机制和依赖志愿者维护库的脆弱性。
- 未来可能采取AI代码安全检查及强化账户验证等措施应对此类威胁。