软件供应链攻击:Apache Cordova App Harness 项目漏洞
重点信息
攻击者可能利用 Apache Cordova App Harness 项目的依赖混淆漏洞发起软件供应链攻击。该项目已经停用五年,存在巨大的安全风险。研究人员建议对第三方项目和依赖项应保持警惕,尤其是那些已经归档的开源项目。最近,研究人员在The Hacker News上报告称,一种潜在的漏洞被发现,该漏洞可能导致恶意软件通过 Apache Cordova App Harness 项目进行上传。这一项目因已不再维护,五年前便停止更新,给投资者带来了重大风险。
蚂蚁加速加速器下载Legit Security 的研究人员发现,攻击者可以利用这种恶意版本的软件,通过 NPM 下载相同名称的文件,而样本已经下载超过100次,带来了很大的潜在风险。
“这一发现强调了我们在软件开发过程中必须警惕第三方项目及其依赖,尤其是那些已经归档的开源项目。这些项目可能不会得到定期的更新或安全补丁,尽管将它们置之不理可能看似无所谓,但实际上它们往往存在未被修复的漏洞。”Legit Security 研究员 Ofek Haviv 表示。
对策和建议
监控第三方依赖:定期检查项目中的依赖项,确保它们是最新的,特别是那些长期未维护的库。提升安全意识:团队应加强对依赖库内幕的了解,并定期进行安全审计。有效替代方案考量:对于被归档或停用的项目,评估是否有更安全的替代方案可供选择。使用这些策略能帮助开发团队降低供应链攻击的风险,并确保软件的稳健性。
