研究者は、クラウドCIパイプラインを標的とした錆のサプライチェーン攻撃を明らかにします from thehackernews.com
security summary
ソフトウェアサプライチェーン攻撃の事例が、マルウェアを含む不正なライブラリを公開するためにタイポスクワッティング技術を利用したRustプログラミング言語のクレートレジストリで観察されました。
タイポスクワッティング攻撃は、開発者が正当なライブラリではなく悪意のあるパッケージを誤ってダウンロードすることを期待して、攻撃者が公開レジストリで人気のあるパッケージの名前を模倣した場合に発生します。
SentinelOneの研究者は、「ソフトウェアのサプライチェーン攻撃は、まれな発生から、攻撃者がユーザー集団全体に一度に感染しようとして「ダイナマイトで釣りをする」ための非常に望ましいアプローチになりました」と述べています。
「CrateDepressionの場合、クラウドソフトウェアビルド環境への標的の関心は、攻撃者がこれらの感染を大規模なサプライチェーン攻撃に利用しようとする可能性があることを示唆しています。」
コメント