在过去的一年中，针对软件供应链的安全攻击事件持续增加，造成的危害也愈发严重。

2022年7月，攻击者通过在NPM上发布包时绕过双因子认证(2FA),创建了1000多个用户账号，攻击者利用这些账号自动投放1283个包含挖矿脚本eazyminer的恶意模块，利用数据库、Web等所在服务器的机器闲置资源进行挖矿，如果开发者安装了这些包，则会在被调用时挖掘门罗币。

2022年11月，美国FBI和CISA发布联合公告指出，未具名的伊朗组织利用Log4Shel1漏洞入侵了美联邦民事行政部门FCEB下属机构的一台未修复的VMware Horizon服务器，并部署了挖矿恶意软件XMRig。FBI和CISA提到，所有尚未修复VMware系统中Log4Shel1漏洞的机构都可能遭受此类攻击。

2022年12月，安全研究人员发现了GitHub Actions的一个严重漏洞，该漏洞可造成恶意软件植入攻击，进而影响使用GitHubActions的软件项目，如下游软件项目以恶意代码编译更新等。GitHub证实了该问题的存在，并颁发了赏金，Rust修复了易受攻击的管道。

2023年2月，半导体行业技术巨头Applied Materials称：其一家主要的供应商因遭受勒索软件攻击而被迫中断生产，这将影响其第二季度的交付。该攻击事件及正在进行的其他供应链挑战将使其第二季度的成本增加约2.5亿美元。

来源：奇安信

关于我们

我们是一家专注于分享国内外各类行业研究报告/专题热点行业报告/白皮书/蓝皮书/年度报告等各类优质研究报告分享平台。所有报告来源于国内外数百家机构，包含传统行业、金融娱乐、互联网+、新兴行业、医疗大健康等专题研究.....目前已累积收集近80000+份行业报告，涉及众多大板块，多个细分领域。

内容涵盖但不限于（市面上有的基本都有）：

1、互联网运营、新媒体、短视频、抖音快手小红书等等；

2、房地产、金融、券商、保险、私募等；

3、新技术（5G）、金融科技、区块链、人工智能类；

4、电子商务、市场营销、运营管理、麦肯锡、德勤等；

5、快消品、餐饮、教育、医疗、化妆品、旅游酒店、出行类等；

免责声明：

本平台只做内容的收集及分享，报告版权归原撰写发布机构所有，由圣香智库社群通过公开合法渠道获得，如涉及侵权，请联系我们删除；如对报告内容存疑，请与撰写、发布机构联系。