软件供应链安全状况报告;TG向印度法院提供信息;

admin
admin
admin
102421
文章
87
评论
2022年12月12日12:51:26评论11 views字数 2065阅读6分53秒阅读模式

一名 23 岁的男子从一家美国美发连锁店偷走了 400,000 美元。他冒着 30 年监禁的风险


软件供应链安全状况报告;TG向印度法院提供信息;

©网络研究院

美国司法部宣布逮捕一名嫌疑人,美国检察官达米安·威廉姆斯在纽约联邦法院对亚利桑那州 23 岁的福斯特·库利提起诉讼。 


根据 Williams 的说法,Cooley 参与了一项针对连锁美发沙龙的阴暗计划,他在那里偷走了 40 万美元。


Cooley 随后被指控使用恶意软件窃取属于一家在纽约、新泽西和科罗拉多州设有沙龙的美发公司员工的用户名和密码。 


获得必要信息后,罪犯利用这些信息访问存储在受害人互联网浏览器中的分行信用卡。


获得对受害者浏览器数据的访问权限后,Cooley 切换了银行账户,将美发公司客户的所有付款重定向到他和他的同事控制的账户。


Cooley 在 FBI 刺探期间被捕,现在正面临严重的计算机犯罪指控:单次电汇欺诈指控的最高刑期为 20 年,损坏受保护计算机的最高刑期为 10 年。


Telegram 向印度法院提供了姓名、电话和 IP 地址


软件供应链安全状况报告;TG向印度法院提供信息;


一家印度法院已命令 Telegram 披露涉嫌分发侵犯版权材料的个人的个人数据。


根据 11 月 24 日的法院命令,Telegram 披露了有关从私立教育公司 Campus Private Limited 非法分发教育材料的渠道的信息。Telegram 披露的数据包含:


  • 渠道管理员姓名;

  • 电话号码;

  • 人的 IP 地址。


数据的副本将提供给律师,前提是该信息不会透露给公共当局或警察以外的第三方。提交给法院的电报宣誓书和数据表将被密封保存。 

2023年2月14日,移送法院审理此案。

在诉讼初期,法院驳回了 Telegram 的论点,即它不能共享所有者或用户数据,因为信息存储在 Telegram 在新加坡的服务器上,并且法律禁止披露个人数据。

法院指出,尽管 Telegram 屏蔽了分发侵权材料的频道,但用户创建了新频道并以私人模式工作。“因此,尽管有禁令,原告的作品仍可以自由分发,”法院表示。

利用开源回购的软件供应链攻击不断增

软件供应链安全状况报告;TG向印度法院提供信息;

根据 ReversingLabs 于 2022 年 12 月 5 日发布的报告《软件供应链安全状况》(文末提供报告阅读地址) ,在 2020 年至 2022 年初供应链攻击呈指数级增长之后,企业在整个2022 年出现了缓慢但稳定的增长。
ReversingLabs的研究基于上传到开源存储库(如 npm、PyPi 和 Ruby Gems)的恶意包数量。
该公司指出,显示关于供应链攻击的真正全面数据“几乎是不可能的”,因为组织使用的应用程序非常复杂,而且“缺乏负责监控开发组织安全性和完整性的管理机构”。
尽管存储库中的数据对威胁行为者如何利用软件漏洞提供了有限的看法,但它们正在说明并可以指向“可能的‘煤矿中的金丝雀’,表明那里可能存在更复杂、更难检测的攻击” ,”报告写道。
“我们对 IconBurst 和 Material Tailwind 等供应链攻击的分析表明,恶意行为者越来越多地试图利用对开源软件的信任在组织内植入恶意代码。为什么?因为他们不想重新发明轮子,”ReversingLabs 的联合创始人兼首席软件架构师 Tomislav Pericin 告诉Infosecurity。
“devops 的速度,每天有数百个,有时是数千个版本,创造了这个未知的生态系统,他们试图尽可能快地移动。他们利用这些开源包或 API,然后软件发行商通过软件的新版本或更新来传播它们,”他说。
以 npm 为例,从 2022 年 1 月到 2022 年 10 月,上传了近 7000 个恶意包,比 2020 年发现的 75 个恶意包增加了近 100 倍,比 2021 年发现的所有包增加了 40%。
恶意 npm 包占 ReversingLabs 分析的所有恶意包的 66.7%。
相比之下,PyPi 存储库的恶意包上传量比去年减少了近 60%,从 2021 年的 1493 个包减少到 2022 年的 3685 个。但自 2020 年以来的恶意活动仍比 2020 年增长了 18,000% 以上,当时只有 8 个检测到恶意包,并在 2022 年夏季确定了几个高峰。
这些攻击增加了对软件供应链安全的关注。
继拜登政府于 2021 年 5 月发布关于改善国家网络安全的行政命令 (EO 14028) 之后,过去一年出现了新的联邦指导以加强供应链安全,包括:
持久安全框架 (ESF) 软件供应链工作小组发布的联邦政府软件供应商实践指南
管理和预算办公室 (M-22-18) 的一份备忘录要求软件公司证明他们授权给行政部门机构的软件和服务的安全性。
“在接下来的一年里,与联邦合同签订的软件发行商将需要为软件安全设置更高的门槛以满足新的指导方针,包括必须证明其代码的安全性,并且在某些情况下需要生成软件物料清单 (SBOM)这为追踪供应链威胁提供了路线图,”报告中写道。
根据 Pericin 的说法,“在长期被搁置的同时,软件供应链安全将变得司空见惯,只是其他应用程序安全测试技术,如静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST),软件组成分析和 API 安全扫描。”

软件供应链安全状况报告;TG向印度法院提供信息;

软件供应链安全状况报告;TG向印度法院提供信息;

在线阅读: https://kdocs.cn/l/cquhk9JpPKVQ

原文始发于微信公众号(网络研究院):软件供应链安全状况报告;TG向印度法院提供信息;

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月12日12:51:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   软件供应链安全状况报告;TG向印度法院提供信息;https://cn-sec.com/archives/1457740.html

发表评论

匿名网友 填写信息