黑客利用开源系统依赖关系混乱设计缺陷针对Amazon、Zillow、Lyft和Slack等科技公司发起新型供应链攻击

2021年3月1日，国外网络安全企业Sonatype发布报告，称其发现了已被发布至nmp开源存储库中的恶意软件包，这些软件包试图利用开源系统依赖关系混乱的设计缺陷，针对多家科技公司发起攻击。 2020年，研究人员Alex Birsan发现了开源系统依赖关系混乱的设计缺陷，并通过测试证明：针对同名的软件包，公开的软件包会比私有的软件包优先级更高，且在某些情况下版本更高的软件包优先级更高（无论私有还是公开）。利用该缺陷，Alex Birsan发布了与一些公司内部在用的私有软件包同名的公开软件包以实施供应链攻击，成功入侵了多家知名公司在内的超过35家科技公司。 综上，目前开源存储库存在严重安全隐患，已出现相关恶意软件包，不排除其数量持续增多的可能。且该攻击方法操作简单易于被掌握，成功利用此设计缺陷可进一步引发供应链攻击，对使用开源软件的科技公司及其用户网络安全形成较大威胁。