Homebrew cask 恶意软件包投毒威胁通告

赶紧点击上方话题进行订阅吧！报告编号：B6-2021-042201报告来源：360CERT报告作者：360CERT更新日期：2021-04-221 事件简述2021年04月22日，360CERT监测发现Homebrew官方发布了安全事件通告，事件等级：严重，事件评分：10.0。Homebrew是一款自由及开放源代码的软件包管理系统，用以简化macOS系统上的软件安装过程，因其可扩展性得到了一致好评，而在Ruby on Rails社区广为人知。Homebrew使用GitHub，通过用户的贡献扩大对软件包的支持。2021年04月18日，国外安全人员在Homebrew项目中发现其review-cask-prGitHub Action存在缺陷，攻击者可以将任意代码注入到cask类型的软件包中，并将其合并到包管理库的主分支上。当用户使用brew upgrade安全装软件包更新时，会将恶意包下载并执行其中的恶意代码。 ………………………………