威胁类型:官方开发者提交恶意代码
- 威胁编号:T4-1-2
- 威胁分类:恶意篡改-开发阶段篡改
- 威胁描述:软件项目的官方开发者或维护者,利用其权限向项目中注入恶意代码,可能出于个人利益、政治目的或其他动机。
威胁案例
开源组件
- 2022年 node-ipc 投毒事件:node-ipc用于进程间通信。2022年3月,其维护者 Brandon Nozaki Miller(RIAEvangelist)在版本 10.1.1 和 10.1.2 中加入了恶意代码,该代码会检测用户 IP 地址,如果检测到来自俄罗斯或白俄罗斯的 IP 地址,就会删除系统上的所有文件并创建带有反战信息的文件。这一行为违反了开源软件的基本原则,未经用户同意获取并使用了用户的地理位置数据,并基于这些数据执行了破坏性操作。该事件影响了数百个依赖 node-ipc 的项目,包括流行的前端框架 Vue.js 的 CLI 工具。
操作系统
- 2018年 Gentoo Linux GitHub 账号被黑客入侵事件:Gentoo Linux 的 GitHub 账号被黑客入侵,攻击者修改了官方代码仓库中的内容,包括在安装脚本中添加了恶意代码,试图删除用户系统文件。所幸该攻击被迅速发现并修复,未造成广泛影响。
解决方案
- 使用软件成分分析工具(SCA)识别依赖组件的恶意行为,及时修复风险。
- 建立投毒风险识别机制,及时发现恶意代码。