供应链攻击

安全公司 SentinelOne 和 Checkmarx 的研究人员报告，Python 软件包仓库 PyPI 成为一起复杂供应链攻击的目标，至少两个合法软件包被成功植入了窃取凭证的恶意程序。攻击者向 Python 开发者发动钓鱼攻击，诱骗他们泄露登陆凭证，然后利用窃取的凭证推送软件包最新更新，其中植入了窃

近年来，供应链攻击已经成为企业与机构面临的主要安全挑战之一。尤其是最近两年，供应链网络攻击影响更为广泛，从 SolarWinds 软件漏洞威胁到去年爆出的 Apache Log4j 漏洞和 Kaseya 都是证明。值得注意的是，当此类供应链攻击发生在为大型企业提供服务的小型企业身上时，其后果更为严重。 对于受到

上个月，安全研究员 Alex Birsan 披露了一种新型的供应链攻击：依赖混淆。他发现大企业使用的程序通常会包含非公开的私有依赖包，如果在软件包仓库中加入同名的公开的依赖包，那么这些程序在构建时很可能会优先使用公开的依赖包，可能导致恶意程序在公司内网执行。过去一周，包括苹果、微软和特斯拉在内的数十家企业

全球供应链攻击剧增了 650%！Check Point 软件技术公司表示：实施最低权限访问策略、网络分段、DevSecOps 实践及自动威胁防御是确保公司安全的基石。2022 年 3月，全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）总结了一年来主要供应链攻击的

尽管紧张的形势有所放缓，但是全球供应链仍未从疫情的危机中彻底走出，供应短缺事件在各个行业频繁发生，这也凸显了供应链的脆弱。盯上供应链的还有网络攻击：近年来，供应链攻击事件呈现爆发增长的态势，欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出，眼下攻击者已经将注意力转移到供应商上，和2020年相比，2021年供应

SushiSwap 首席技术官表示，该公司的 MISO 平台遭到软件供应链攻击。SushiSwap 是一套社区驱动的去中心化金融（DeFi）平台，允许用户一站完成加密货币资产的交易、赚取、借出、借入及使用等操作。今年早些时候推出的最新产品 Minimal Initial SushiSwap M