サプライチェーン攻撃
npm, rubygemsなどのパッケージマネージャを利用した攻撃
攻撃者はマルウェアをアップロードし、ダウンロードした開発者やパッケージを使用したシステムで問題が起きる
手法
TypoSquatting
メンテナーのcredential奪取
ソーシャルエンジニアリング
パッケージマネージャで配布されるマルウェア、対策と課題について
善良なパッケージを騙ったマルウェアが配布されているケースが増えてきています。 これらのマルウェアはパッケージマネージャ上で配布され、開発者端末やそれをビルドインしたシステムを利用するユーザー端末で悪事を働きます。
オープンソース プロジェクトをサプライ チェーン攻撃から守る