当全世界都在关注实体供应链时,另一种不同类型的供应链攻击却在开源生态系统中不断升级。
过去一周,一群不良行为者一直在危害各种开源项目,推送恶意版本的库,这些库会注入木马,从安装恶意版本的系统中收集敏感数据。
讽刺的是,第一次攻击是从 Trivy 开始的,Trivy 是一个用于查找安全漏洞的开源包。
这个问题的规模正在扩大,令人震惊。
这波攻击从一些较小的库开始,然后开始攻击供应链中更流行的软件包 Telnyx(一种用于语音和短信集成的流行软件包)。
每周下载量约为 2200 万次。
来源:HackerNews New
