威胁类型：通过接管托管仓库账号篡改

• 威胁编号：T4-3-1
• 威胁分类：恶意篡改-分发阶段篡改
• 威胁描述：攻击者通过窃取或接管软件托管仓库（如 GitHub、GitLab、PyPI 等）的账号，对软件包进行恶意篡改。

威胁案例

开源组件

• 2021年 npm ua-parser-js 包被劫持事件：攻击者接管了流行的 npm 包 ua-parser-js 的维护者账号，发布了包含恶意代码的新版本（0.7.29、0.8.0 和 1.0.0），该恶意代码会窃取用户凭证并安装加密货币挖矿软件。该包每周下载量超过800万次，影响了数百万下游依赖项目。
• 2018年 ESLint npm 包被劫持事件：攻击者通过窃取 ESLint 维护者的 npm 账号凭证，发布了包含恶意代码的 eslint-scope 6.0.0 和 eslint-config-eslint 5.0.2 包，该恶意代码会窃取用户的 npm 凭证并发送到攻击者控制的服务器。这些包被下载约4500次，影响了使用这些版本的开发者。

编程语言运行时

• 2020年 PHP Git 服务器入侵事件：攻击者成功入侵 PHP 官方 Git 服务器，并提交了包含后门的恶意代码，试图在 PHP 源代码中植入后门。该后门允许远程执行任意代码，幸运的是，该提交被维护者及时发现并撤销，未被包含在正式发布版本中。

解决方案

1. 账号安全

   • 使用双因素认证
   • 使用强密码策略
   • 定期更换密码

2. 访问控制

   • 实施最小权限原则
   • 使用访问令牌，避免使用账号密码

参考链接

• npm ua-parser-js 包被劫持风险
• PHP Git 服务器入侵事件报告
• ESLint npm 包被劫持事件通告
• GitHub 账号安全最佳实践