详细内容或原文请订阅后点击阅览
一千个受感染的包裹和 90,000 美元的赎金。 TeamPCP 的黑客几乎无所适从。但现在每个人都知道他们的昵称
可能影响几乎所有现代开发的依赖链攻击背后的原因是什么。
来源:安全实验室新闻频道一千个受感染的包裹和 90,000 美元的赎金。 TeamPCP 的黑客几乎无所适从。但现在每个人都知道他们的昵称
可能影响几乎所有现代开发的依赖链攻击背后的原因是什么。
开源多年来一直建立在信任之上,但现在攻击者正在展示将开发速度变成针对开发人员自身的武器是多么容易。 TeamPCP 组织在不到四个月的时间里黑客攻击了 1000 多个软件包并填充了恶意代码,触及现代数字经济最敏感的点之一。
TeamPCP 攻击影响了开源存储库和开发工具,包括 npm、PyPI 和 GitHub。攻击者对流行的软件包进行恶意更改,然后等待其他团队自动将受感染的代码上传到他们的项目中。由于依赖链,这种方法特别危险,其中一个包拉动数十或数百个其他组件。
事实证明,主要问题不是某种新的攻击技术,而是一个长期已知的弱点。许多公司习惯于快速插入第三方代码和更新,而不检查链条中的每个环节。自动化系统收集和发布代码并帮助更快地发布程序,同时允许更多系统受到感染。另一个风险来自人工智能驱动的工具,这些工具可以在很少或根本不需要人工干预的情况下安装软件包。
据专家介绍,TeamPCP 运行时经常很吵闹,而且很难隐藏。该组织窃取 Kubernetes、Amazon Web Services、Microsoft Azure、Google Cloud 和其他服务的访问密钥和凭证。所声明或受影响的目标包括 Checkmarx、Bitwarden、LiteLLM、Telnyx、PyTorch Lightning、SAP、GitHub、TanStack、UiPath、MistralAI、Red Hat 和其他项目。
你的秘密在暗网上受到喜欢。