solidot新版网站常见问题,请点击这里查看。

研究人员发现针对德国的依赖混淆攻击安全公司随后声明是渗透测试

安全
WinterIsComing (31822)发表于 2022年05月13日 18时09分 星期五

来自达尔文电波
去年安全研究人员披露了一种新型的供应链攻击:依赖混淆。大型企业使用的程序通常会包含非公开的私有依赖包,如果攻击者在软件包仓库中加入同名的公开的依赖包,那么这些程序在构建时很可能会优先使用公开的依赖包,可能导致恶意程序在公司内网执行。本周安全研究人员发现了针对德国公司贝塔斯曼、博世、斯蒂尔和 DB Schenk 的依赖混淆包。但就在研究人员发表报告前夕名叫 Code White 的公司承认是其所为。CEO David Elze 声明他们获得相关企业授权进行合法的渗透测试演练。这是一次假警报,但依赖混淆攻击确实在发生。