MavenGate 攻击技术揭示了开源库的安全隐患

关键要点

MavenGate 攻击技术可能利用放弃的开源库，影响许多 Android 和 Java 应用攻击者可透过此方法进行依赖项管理接管和恶意代码注入开发者需要对其声明的库依赖负更大责任

报导指出，数个 Android 和 Java 应用程序可能受到新型 MavenGate 软件供应链攻击技术的影响，这种技术可以通过利用被遗弃的开源库来实现，特别是所有基于 Apache Maven 的技术。根据 The Hacker News 的报导，威胁行为者可以利用 MavenGate 方法进行依赖项工件接管和恶意代码注入，并能在未被检测的情况下妨碍构建过程。据 Oversecured 的调查报告称：

攻击者可以通过在没有管理可疑 groupId 的帐户的仓库中声明对其的权利，来获取对一个易受攻击的 groupId 的访问权。如果该 groupId 已经在仓库中注册，攻击者可以通过联系仓库的支持团队来尝试获取对该 groupId 的访问权。

研究人员指出，这些发现应该促使开发者承担更多的责任。他们表示：“库的开发者应对他们声明的依赖项负责，并为其依赖项编写公共密钥哈希，而最终开发者仅需对他们的直接依赖项负责。”

白鲸加速器最新版下载安装

以下是有关此事件的更多细节：

影响范围技术攻击方法Android 和 Java 应用Apache Maven依赖项接管、恶意代码注入

研究人员呼吁开发者加强对库管理的责任意识，以避免未来潜在的安全隐患。