发布日期：2026-03-11 14:49    点击次数：129

从劫握的软件包到错字劫握(typosquatting)和星标劫握(starjacking)，开源软件供应链的威胁日益增多。

译自 How Supply-Chain Attackers Maximize Their Blast Radius，作家 Poppaea McDermott。

当代软件开荒严重依赖开源软件包。npm、PyPI 和 GitHub 等平台共同托管数百万个软件包，每月促成数十亿次下载。

固然开源软件 (OSS) 的互联互通、合营性质促进了鼎新，但也使生态系统濒临坏心行为。挫折者越来越多地期骗这些确凿的供应链传播坏心软件，包括加密矿工、信息窃取者和后门。Sonatype 的 2024 年评释强调坏心软件包加多了 156%，与昨年比较，这预示着对软件供应链日益增长的紧要威胁。

最小进犯，最大风险

发布开源软件包的绵薄性不测中创造了一个环境，该环境的参加门槛低，但对各级坏心步履者来说却有可不雅的答复。只需付出最小的致力于，敌手就能使用一次性身份生成和分发无数坏心软件包，从而使跟踪温煦解职责变得复杂。

在威胁环境的高端，民族国度步履者，相配是那些与朝鲜政府磋磨联的步履者，慢慢转向 npm 和 PyPI 软件包。他们将这些平台用作旨在渗入组织和窃取加密货币的行为的一部分。

这些威威迫使软件包注册表和安全考虑东说念主员堕入被迫应答的“打地鼠”场景，在永劫分未被发现的行为之后，才识别和取销这些威胁。

扩张挫折面

当代开荒对互干系联的依赖链的依赖放大了单个受损软件包的潜在影响。固然一个神志可能惟有少数平直依赖项，但在 npm 中，传递依赖项每每每个软件包跳跃 1000 个。

基于 AI 的代码生成器具的使用激加多重了这些风险。代码生成模子“产生幻觉”简直 20% 的生成的软件包，示意不存在甚而坏心库。跟着开荒东说念主员给与大型言语模子 (LLM) 器具来加速开荒速率，供应链受损的可能性也在加多。

开源软件供应链挫折的主要类别

开源软件包生态系统挫折可分为两大类：劫握确凿软件包和师法确凿软件包。

被劫握的软件包

旨在最大化其挫折范围的挫折者可能会试图劫握一个高著名度的软件包，该软件包被很多应用要领或开荒东说念主员使用。这些挫折的有用性取决于神志的现存用户群和声誉。与一次性坏心软件包不同，这些事件每每更复杂，因此更难以检测和看重。

然而，由于流行的软件包当然会受到更大的审查，因此很多开源软件供应链挫折由于社区的警惕而被发现。

为了施行软件包劫握挫折，挫折者每每需要领有标的神志的养息者或悉数者权限。他们通过帐户泄露或在社区中慢慢诞生声誉来赢得打听权限。

养息者采纳

威胁步履者不错通过多种花样淘气养息者帐户——弱密码、有针对性的汇集垂纶挫折、窃取会话 Cookie 或 API 令牌或注册已逾期的电子邮件域名。挫折者也可能会收拢契机收尾被废弃的神志。

神志悉数者不错通过加强养息者和孝敬者的身份考据和安全机制来松开此类挫折。像Sigstore这么的器具使养息者豪迈对工件进行密码签名并提供开始评释。

坏心的新的孝敬者

复杂的挫折者可能不会淘气现存的养息者，而是遴荐通过耐性诞生信任和声誉（当然地或其他花样）来渗入神志，然后央求更高的权限。

当然的信任诞生触及“[牢固的社会工程]”，这可能需要数月甚而数年时分。(https://thenewstack.io/the-xz-hack-reveals-a-looming-8-8-trillion-infrastructure-disaster-hidden-in-plain-sight/)此类行为快要似于开源开荒中的平素模式，因此很难将其与良性孝敬区别开来。 一些东说念主会试图通过使用“傀儡账号”来莳植确凿度，或者通过购买GitHub上的星标和感情者来垄断办法。这些计策将信任诞生过程游戏化，制造乌有的正当性来赞成他们手脚养息者的说法。

一朝挫折者赢得神志打听权限，他们就需要触发其有用负载的施行，以将其传播到悉数下流用户。最赫然的法式是提交一些坏心代码，可能跨多个文献和阶段，以幸免被其他孝敬者和用户检测到。

另一种遴荐是期骗CI/CD管说念。举例，最近的Ultralytics PyPI 泄露事件就依赖于GitHub Actions缓存中毒。

团队应该严格审查悉数拉取央求并监控CI/CD进程。诸如Minder和Stacklok Insight之类的器具不错识别可疑的代码添加、已弃用的依赖项或特别模式。

师法软件包

大多数威胁参与者会采选更约略的法式，即创建师法正当软件包的伪造软件包，而不是试图平直劫握原始软件包。此类挫折（包括错字劫握和星标劫握）依赖于诈骗用户信任并下载其软件包。通过这种法式，挫折者不错统统收尾软件包的寄托、源代码和外不雅的悉数方面。

这种法式不仅简化了施行，况且使此类挫折更容易检测。然而，它们的范围每每有限——一些挫折者为了幸免凡俗的审查而特意遴荐这么作念。

错字劫握(Typosquatting)

错字劫握长期以来一直是坏心软件和垃圾邮件行为中的一种常用期间。挫折者注册域名时稍微拼写诞妄或替换字符，以拐骗用户打听坏心网站。举例，一个诓骗性的Microsoft 登录页面可能会使用雷同 microsoft-auth.xyz/login 的域名。

不异的计策也适用于软件包；挫折者会遴荐与正当软件包简直相易的称号，使用轻微的错字、特殊的标志或字符替换。举例，他们可能会使用eth-gasreportr而不是eth-gas-reporter。

星标劫握(Starjacking)

星标劫握每每伴跟着错字劫握。由于大多数软件包注册表允许未教悔证的用户声明存储库联接，因此挫折者不错劫握高信誉软件包的流行度统计数据。在坏心软件包上暴露正当软件包的星标计数和孝敬者列表，使其赢得不应有真的凿度。

一个“星标劫握”的软件包使用错字劫握伪装成正当网站。

eth-gas-reporter 的正当存储库

团队应该幸免只是依靠暴露的流行度办法来诞生信任，因为这些办法并非可靠的正当性办法。经过考据的软件包开始不错保证软件包代码源自其宣称联接到的存储库。

论断

从针对性养息者采纳到诈骗性软件包师法，这些坏心计策证明了开源生态系统中固有的间隙。

固然这些法式是最常见的法式，但它们只代表了不休发展的威胁环境中的一小部分。

新的挫折绪论欧洲杯app，举例期骗AI生成的代码或期骗CI/CD管说念中的新间隙，仍在不休出现。措置这些挑战需要握续的警惕、安全器具的鼎新以及开源社区的集体致力于来保护软件供应链。

---