ТЕХНІЧНИЙ ОПИС

Зловмисники можуть маніпулювати продуктами або механізмами доставки продуктів до їх отримання кінцевим споживачем з метою компрометації даних або систем.

Компрометація ланцюжка постачання може відбутися на будь-якому етапі, включаючи:

  • Маніпуляції з інструментами розробки.
  • Маніпуляції з середовищем розробки.
  • Маніпуляції з репозиторіями вихідного коду (публічними або приватними).
  • Маніпуляції з вихідним кодом у залежностях із відкритим вихідним кодом (open-source).
  • Маніпуляції з механізмами оновлення або розповсюдження програмного забезпечення.
  • Скомпрометовані/інфіковані образи систем (знімні носії, інфіковані на заводі).
  • Заміна легітимного ПЗ модифікованими версіями.
  • Продаж модифікованих або підроблених продуктів легітимним дистриб’юторам.
  • Перехоплення вантажів під час транспортування.

Хоча компрометація ланцюжка постачання може вплинути на будь-який компонент апаратного чи програмного забезпечення, зловмисники, що прагнуть отримати можливість виконання коду, часто зосереджуються на шкідливих додатках до легітимного ПЗ у каналах розповсюдження або оновлення. Зловмисники можуть обмежувати цілі конкретним набором жертв або розповсюджувати шкідливе ПЗ широкому колу споживачів, але продовжувати активність лише з обраними цілями. Популярні проекти з відкритим кодом, які використовуються як залежності в багатьох застосунках, також можуть стати мішенню для додавання шкідливого коду користувачам цієї залежності.

У деяких випадках зловмисники можуть проводити компрометацію ланцюжка постачання «другого порядку», використовуючи доступ, отриманий під час первинної атаки, для подальшої компрометації іншого програмного компонента. Це дозволяє суб’єкту загрози поширюватися на ще більшу кількість жертв.