研究人员表示,他们发现供应链攻击充斥着包含隐形代码的恶意软件包的存储库,这种技术扰乱了旨在检测此类威胁的传统防御措施。
Aikido Security 公司的研究人员周五表示,他们发现了 3 月 3 日至 9 日期间上传到 GitHub 的 151 个恶意软件包。
近十年来,此类供应链攻击一直很常见。
他们通常通过上传代码和名称与广泛使用的代码库非常相似的恶意包来工作,目的是诱骗开发人员错误地将前者合并到他们的软件中。
在某些情况下,这些恶意软件包会被下载数千次。
合气道称去年首次发现的这种策略使得手动代码审查和其他传统防御几乎毫无用处。
来源:Ars Technica Tech
