软件“供应链投毒”来势汹汹 国家安全部发布安全提醒

格隆汇6月18日｜国家安全部今天发布安全提示文章，国家网络安全通报中心监测发现，近期集中爆发多起供应链投毒攻击事件，涉及开源软件仓库和商用工具两大核心供应链场景。相关“供应链投毒”事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征，可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。软件供应链，是软件从组件获取、开发集成、版本分发，直至交付终端用户使用的全流程链条。与直接针对终端的网络攻击不同，“供应链投毒”是一种典型的“上游污染、下游传导”模式。攻击者通过劫持开发者官方账号、篡改开源代码仓库源码、污染软件安装包与发布版本等方式，将恶意程序植入各类软件中。随着软件的发布与更新，这些潜伏的“毒瘤”便被源源不断地输送至海量终端设备。