时间:2022-01-02 15:23:10
最近,攻击者在PHPGit的官方代码库里植入了远程执行后门。不过,这个恶意代码在本地代码检查中被发现,因此它没有进入官方的更新包中。然而,它显现出网站供应链当中的另一个安全缺陷:如果恶意代码被隐藏得更好,它们能否进入公开发布的更新包中?这种事情以前就发生过,比如Copay事件中,恶意代码影响了数个版本的产品(加密货币钱包),并且窃取了用户数据。
最近,攻击者在PHPGit的官方代码库里植入了远程执行后门。不过,这个恶意代码在本地代码检查中被发现,因此它没有进入官方的更新包中。然而,它显现出网站供应链当中的另一个安全缺陷:如果恶意代码被隐藏得更好,它们能否进入公开发布的更新包中?这种事情以前就发生过,比如Copay事件中,恶意代码影响了数个版本的产品(加密货币钱包),并且窃取了用户数据。