恶意第三方依赖的搭车者指南
摘要:开源软件供应链攻击:基于包管理器的技术 摘要:随着某些编程语言的日益流行,特定生态系统的软件包仓库和包管理器应运而生。这些仓库(如NPM,PyPI)是公共数据库,用户可以查询以获取各种功能的软件包,而包管理器则自动处理客户端依赖关系和软件包安装。这些机制增强了软件模块化和加快了实施速度。然而,它们已经成为恶意行为者大规模传播恶意软件的目标。 通过研究7个生态系统,我们展示了攻击者如何利用流行的包管理器和编程语言的功能,在受害者机器上实现任意代码执行,从而实现开源软件供应链攻击。我们识别了3个安装时和5个运行时技术,并提供了有关如何降低使用第三方依赖时的风险的建议。我们将提供证明这些技术的概念验证。此外,我们还描述了攻击者用来规避检测机制的逃避策略。
作者:Piergiorgio Ladisa, Merve Sahin, Serena Elisa Ponta, Marco Rosa, Matias Martinez, Olivier Barais
论文ID:2307.09087
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-07-19