供應鏈攻擊

供應鏈攻擊是一種傳播間諜軟體的方式，一般通過產品軟體官網或軟體包存儲庫進行傳播。通常來說，黑客會瞄準部署知名軟體官網的服務器，篡改服務器上供普通用戶下載的軟體源代碼，將間諜軟體傳播給前往官網下載軟體的用戶。^[1] 此外，黑客還會向一些軟體開發者常用的軟體包存儲庫如npm、PyPI和RubyGems等注入帶有惡意代碼的軟體包。這些軟體包在用戶下載後安裝時會觸發惡意行為^[2]^[3]。

比較知名的供應鏈攻擊事有XcodeGhost風波、Target公司的安全漏洞、東歐的ATM惡意軟體，以及震網（Stuxnet）電腦蠕蟲等。

供應鏈管理專家建議，為了避免網路犯罪的潛在損失，要對組織的供應網路進行嚴格的控管^[4]。

參考文獻

^ Next Generation Cyber Attacks Target Oil And Gas SCADA | Pipeline & Gas Journal. www.pipelineandgasjournal.com. [2015-10-27]. （原始內容存檔於2015-02-09）.
^ Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks. （原始內容存檔於2022-01-27）.
^ 計算機與網絡 2018 第52頁. 揭秘新发现的供应链攻击&武新沂.
^ Urciuoli, L., Männistö, T., Hintsa, J., & Khan, T. (2013). SUPPLY CHAIN CYBER SECURITY - POTENTIAL THREATS. Information & Security, 29(1), 51-68. Retrieved 2015-10-29

[:1-1] Next Generation Cyber Attacks Target Oil And Gas SCADA | Pipeline & Gas Journal. www.pipelineandgasjournal.com. [2015-10-27]. （原始內容存檔於2015-02-09）.

[2] Backstabber's Knife Collection: A Review of Open Source Software Supply Chain Attacks. （原始內容存檔於2022-01-27）.

[3] 計算機與網絡 2018 第52頁. 揭秘新发现的供应链攻击&武新沂.

[4] Urciuoli, L., Männistö, T., Hintsa, J., & Khan, T. (2013). SUPPLY CHAIN CYBER SECURITY - POTENTIAL THREATS. Information & Security, 29(1), 51-68. Retrieved 2015-10-29

[1]

[2]

[3]

[4]

相關條目

參考文獻