供應鏈攻擊

供應鏈攻擊是一種傳播間諜軟件的方式，一般通過產品軟件官網或軟件包存儲庫進行傳播。通常來說，黑客會瞄準部署知名軟件官網的服務器，篡改服務器上供普通用戶下載的軟件源代碼，將間諜軟件傳播給前往官網下載軟件的用戶。^[1] 此外，黑客還會向一些軟件開發者常用的軟件包存儲庫如npm、PyPI和RubyGems等注入帶有惡意代碼的軟件包。這些軟件包在用戶下載後安裝時會觸發惡意行為^[2][3]。

比較知名的供應鏈攻擊事有XcodeGhost風波、Target公司的安全漏洞、東歐的ATM惡意軟件，以及震網（Stuxnet）電腦蠕蟲等。

供應鏈管理專家建議，為了避免網絡犯罪的潛在損失，要對組織的供應網絡進行嚴格的控管^[4]。

相關條目

• 軟件供應鏈
• 高級長期威脅
• 網絡攻擊
• 水坑攻擊
• 數位供應鏈安全