大型企业在供应链攻击泄露其秘密后争先恐后

快速阅读: 《Ars Technica》消息，研究显示，数十名`tj-actions`用户在供应链攻击中受损。专家提醒审查GitHub Actions的安全性。近期类似攻击频发，需警惕开源软件风险。

在另一篇研究报告中，安全公司威兹（Wiz）的研究人员表示，对此次攻击的初步分析显示，数十名`tj-actions`用户在供应链攻击中受到了实际损害。研究人员指出，`tj-actions`事件是针对广泛使用的开源软件包的供应链攻击的最新案例。去年，一名供职于微软的开发人员发现了一个被刻意嵌入到`xz Utils`中的后门程序，这一开源的数据压缩工具被数百万个组织使用，其中还包括许多《财富》500强企业。幸运的是，该后门允许攻击者以特权身份登录任何服务器，但其在计划部署至Linux生产环境前几周就被发现了。其他近期的供应链攻击案例可参考这里和这里。任何负责使用`tj-actions`系统的用户都应仔细检查是否存在潜在的妥协迹象。这类供应链攻击还应促使管理员审查自己使用的GitHub Actions，确保它们使用经过验证代码的加密哈希值，而非依赖标签。

StepSecurity与威兹的文章提供了宝贵信息，Semgrep的这篇报道亦是如此。这些文章的内容经过润色后如下：

在一份最新的研究报告中，威兹公司的研究团队披露了一项供应链攻击的详情。据初步分析结果显示，有数十名`tj-actions`的用户因这次攻击而遭受了实质性的损失。这起`tj-actions`事件，再次成为针对广泛应用的开源软件包发动供应链攻击的典型案例。

回顾去年，一名微软的开发工程师发现了一个隐藏在`xz Utils`中的恶意后门。作为一款开源的数据压缩工具，`xz Utils`已被全球数百万家机构采用，其中包括众多《财富》500强企业。幸运的是，这个后门的功能——允许攻击者以高权限身份访问任意服务器——在它被部署到Linux生产系统之前几周就被及时发现了。有关近期其他供应链攻击的案例，可以查阅相关链接。

对于所有涉及`tj-actions`系统的管理人员而言，必须密切留意是否存在任何异常或被入侵的征兆。同时，此类供应链攻击也提醒管理者们需要重新审视自身正在使用的GitHub Actions，务必确保其引用的是通过加密哈希值验证过的代码，而非简单依赖于版本标签。

StepSecurity与威兹发布的文章均提供了极具价值的信息，Semgrep的相关报道也同样值得参考。

(以上内容均由Ai生成)