威胁类型：发布名称容易混淆的恶意软件

• 威胁编号：T3-1-1
• 威胁分类：仿冒伪劣-仿冒恶意软件
• 威胁描述：攻击者通过发布与知名软件名称相似或容易混淆的恶意软件包，诱导用户下载和安装，从而实施攻击。

威胁案例

开源组件

• 2022年 PyPI 上的 ctx 恶意包事件：攻击者发布了一个名为 "ctx" 的恶意包，与流行的 "ctx" 包同名，该恶意包会窃取环境变量和 AWS 凭证，影响了数千名开发者。
• 2018年 npm 上的 "crossenv" 恶意包事件：攻击者发布了一个名为 "crossenv" 的恶意包，与流行的 "cross-env" 包名称相似，该恶意包会窃取环境变量和用户凭证。

闭源应用软件

• 2021年 Zoom 客户端仿冒事件：攻击者发布了名为 "Zoom Meeting Client" 的恶意软件，与正版 Zoom 客户端外观相似，安装后会在用户设备上部署间谍软件和勒索软件。
• 2020年 Visual Studio Code 仿冒事件：攻击者创建了假冒的 Visual Studio Code 下载网站，提供捆绑了恶意软件的 VSCode 安装包，安装后会在后台运行加密货币挖矿程序。

解决方案

1. 包管理机制安全

   • 使用官方包管理源
   • 验证包的签名和完整性

2. 投毒识别机制

   • 针对组件、软件进行恶意行为识别

参考链接

• PyPI ctx 恶意包事件报告
• npm crossenv 恶意包事件分析
• Zoom 仿冒恶意软件分析报告
• Visual Studio Code 仿冒事件分析