原文:Hackers have compromised dozens of popular open source packages in an ongoing supply chain attack
简介
在持续的网络攻击中,黑客已经破坏了世界各地软件开发人员所依赖的多个流行开源项目。
周二,网络安全公司 StepSecurity 和 SafeDep 就最新一波所谓的“供应链”攻击发出警告,这些攻击旨在危害流行开源项目的开发人员,并利用该访问权限植入恶意更新,并将其推送给下游用户。
据 SafeDep 称,黑客接管了一名开发人员的帐户,并在大约 20 分钟内发布了 317 个软件包中的 630 多个恶意版本。攻击的目标是窃取各种服务的凭据,包括密码管理器,作为窃取数据并继续传播恶意软件的一种方式。
在黑客入侵的软件包中,有一个由阿里巴巴制作的库 Antv。据 JFrog Security 称,在某些情况下,黑客会在 GitHub 上发布恶意更新。
最新一波攻击是针对开源项目和在自己项目中使用代码的开发人员的更广泛活动的一部分。研究人员将这次攻击称为“Mini Shai-Hulud”,因为这次攻击是在之前更广泛的黑客活动之后发生的。
上周,在 Mini Shai-Hulud 攻击的另一波攻击中,黑客在入侵开源库 TanStack 后,入侵了两名 OpenAI 员工的计算机。 OpenAI 只是众多受害者之一。