به خطر انداختن وابستگیها و ابزارهای توسعه
Compromise Software Dependencies and Development Toolsتوضیحات
مهاجمان وابستگیهای نرمافزاری و ابزارهای توسعه را به خطر میاندازند تا کد مخرب را در محصولات نرمافزاری تزریق کنند. این شامل آلوده کردن کتابخانههای open-source پرطرفدار در npm، PyPI، Maven یا سایر مخازن است. حمله به وابستگیها میتواند هزاران برنامه را که از آن وابستگی استفاده میکنند تحت تأثیر قرار دهد.
روشهای شناسایی
بررسی integrity وابستگیهای نرمافزاری. استفاده از Software Composition Analysis (SCA). پایش تغییرات غیرمجاز در وابستگیها. بررسی hash های وابستگیها.
روشهای مقابله
پیادهسازی Software Composition Analysis (SCA). استفاده از lock files برای وابستگیها. بررسی دقیق وابستگیهای جدید. استفاده از private package registry. پیادهسازی dependency pinning.
تکنیک اصلی
به خطر انداختن زنجیره تأمین
مهاجمان زنجیره تأمین نرمافزار یا سختافزار را به خطر میاندازند تا کد مخرب را قبل از رسیدن به قربانی نهایی وارد کنند. این تکنیک شامل دستکاری ابزارهای توسعه، وابستگیهای نرمافزاری، مکانیزمهای بهروزرسانی یا سختافزار است. حملات زنجیره تأمین میتوانند تعداد زیادی از قربانیان را همزمان تحت تأثیر قرار دهند.