德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类:其一是在软件产品中植入恶意代码去感染终端用户,此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。 攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新,这次攻击造成了数十亿美元的损失,是已知最具破坏性的网络攻击之一。 另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户,它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行,此类的攻击日益常见。
|
