详细内容或原文请订阅后点击阅览
来自俄罗斯有疑问:Go图书馆的克里姆林语领带Stoke Fear
Easyjson库在众多开源项目中的存在警报Security BizeAsyjson(用于Golang应用程序中序列化数据的软件库)由俄罗斯VK Group的开发人员维护。
来源:The Register _恶意软件Easyjson是一个用于golang应用程序中数据的软件库,由俄罗斯VK组的开发人员维护。
,根据Security Biz狩猎实验室的说法,这对美国政府组织和私营部门公司呈现了潜在的安全风险。亨特(Hunted)表示,这一职位是因为VK集团据称由俄罗斯国家实体及其首席执行官弗拉基米尔·基里森科(Vladimir Kiriyenko)控制,目前正受到美国的制裁。
受控 俄罗斯国家实体 受美国制裁的约束在Easyjson库中尚未确定恶意代码,该图书馆用于流行的开源项目,例如ArgoCD,Cilium,Cosign,Grafana,Grafana,Helm,Istio,Kubernetes,Prometheus和Sigstore等。
easyjson库但是,可以按照俄罗斯国家的要求颠覆开源包的可能性引发了对美国公共和私营部门组织如何根据合规义务查看相关申请的问题。
在周一发布的一份报告中,狩猎实验室概述了所谓的风险。
报告“俄罗斯无需直接攻击”。 “通过影响国有赞助的黑客嵌入一个看似无害的[开源软件]项目深处的美国技术堆栈中的项目,它们可以在计数时等待,观看和拉动字符串。一个放置的后门或细微的虫子可能会成为居住的数字等效的sleepter型单元 - 从五角大楼到iPhone的影响。”
博客文章在发现后do的XZ压缩库一年后,这种情况变得越来越难以作为偏执狂。现实情况是,在公共部门和私营部门组织中,人们对雇用具有已知或隐蔽联系的开发商对被认为是国家对手(例如中国,俄罗斯和朝鲜)的国家。
Backdored XZ压缩库 中国,俄罗斯 朝鲜 寄存器 合作历史 Openssf 对军事计划的消息传递应用程序讨论