軟件供應鏈正越來越多地被試圖危害企業和竊取信息的攻擊者武器化。
應用程序安全專家 Checkmarx 希望通過推出一款新產品來解決這一問題,該產品可提供有關數十萬個惡意軟件包、貢獻者聲譽、惡意行為等的詳細威脅情報。
供應鏈威脅情報提供了許多功能,包括按攻擊類型識別惡意包,例如依賴性混淆、域名仿冒、鏈劫持等。還通過識別開源包中的異常活動來分析貢獻者的聲譽;關於包的惡意行為的情報,包括靜態和動態分析以了解代碼的運行方式;以及一個數據湖,允許在包從包管理器中刪除後很長時間內對包進行持續分析,每月掃描超過一百萬個包。
“2022 年,Checkmarx 研究人員揭露了一些最多產的開源攻擊組織,包括 RED-LILI和 Lofygang,”Checkmarx 首席執行官 Emmanuel Benzaquen 說。 “鑑於來自有組織的攻擊團體的惡意開源包急劇擴散,我們很高興通過在不斷更新的情報源中揭示敵對動機、策略、技術和程序來增強安全利益相關者的能力。”
產品作為 API 提供,用戶可以輕鬆將其集成到許多儀表板和開發環境中。用戶從 Checkmarx 獲得一個獨特的令牌,發送包名稱和版本,然後收到關於包的威脅情報。
“我們的 Checkmarx Labs 供應鏈安全團隊僅在 2022 年就發現了 150,878 個獨特的惡意包,”說Checkmarx 安全研究副總裁 Erez Yalon。 “我們看到攻擊者即使在收到報告後仍繼續攻擊和發布惡意包。他們只是創建新的傀儡帳戶,沒有什麼能阻止他們這樣做。他們無情的惡意行為和新惡意包發布速度的加快促使我們分享我們的威脅情報,以幫助保持開源生態系統的安全。”
在 Checkmarx 網站。
圖片來源:artursz/depositphotos.com