程序员,今天你被“投毒”了么?科技乱炖

程序员,今天你被“投毒”了么?

57分钟 ·
播放数2547
·
评论数30

近日,安恒信息 CERT 监测到一起 LNMP 遭受供应链投毒攻击事件。我们发现,在 lnmp.org 官方网站下载的安装包中被植入了恶意程序。截至录音当日,大部分威胁情报平台尚未标记相关的恶意 IoC 情报。建议近期在 lnmp.org 官网下载并部署 LNMP 的 RedHat 系统用户进行自查。

供应链投毒攻击是什么?以往有过相似案例吗?为何有这么多投毒事件?为什么很多中国开发者中招?下一个中招的又会是谁?黑灰产现在猖狂到什么地步了?最重要的,作为开发者,应该做些什么来避坑?

本期节目,我们请来了从事网络安全行业的某高老师,和做了二十多年网站的老高,一起来聊聊关于“供应链投毒”的那些事。

本期嘉宾

  • 朱峰:「津津乐道播客网络」创始人,产品及技术专家。(微博:@zhufengme)
  • 高春辉:「科技乱炖」主播。“中国互联网站长第一人”,科技、互联网领域的连续创业者。(微博:@高春辉,微信公众号:老高的互联网杂谈)
  • 某高老师:「科技乱炖」主播,资深运维专家,互联网和 IT 行业从业20 年,现任某互联网安全公司高管。(微博:@某高老师,Blog:某高老师 – 人间观察

【制作团队】

后期 / 卷圈
封面 / 姝琦@midjourney
运营 / 卷圈,Sand
监制 / 姝琦
产品统筹 / bobo
场地支持 / 声湃轩北京录音间

【联系我们】

希望大家在听友群和评论区多多反馈收听感受,这对我们来说十分重要。欢迎添加津津乐道小助手微信:dao160301,加入听友群

【关于「科技乱炖」】

由多名资深从业者主持的科技点评播客,以实际工作中积累的经验为基础,结合实际,把近期科技热点变成犀利、独到、深刻的独家观点。

【关于「津津乐道播客网络」】

在一派纷繁芜杂里,我们为愉悦双耳而生。科技、教育、文化、美食、生活、技能、情绪……严肃认真却不刻板,拒绝空泛浮夸。与专业且有趣的人携手缔造清流,分享经历,传播体验,厘清世界与你的关系。

津津乐道 | 科技乱炖 | 津津有味 | 记者下班 | 不叁不肆 | 厂长来了 | 编码人声 | 沸腾客厅 | 拼娃时代

收听平台

苹果播客 | 小宇宙App | 汽水儿App | Spotify | 喜马拉雅 | 网易云音乐 | QQ音乐 | 微信听书 | 荔枝FM | 央广云听 | 听听FM | Sure竖耳App | Bilibili | YouTube

联系我们

津津乐道播客官网 | 公众号:津津乐道播客 | 微信:dao160301 | 微博:津津乐道播客 | 商业合作:hi@dao.fm | 版权声明 | RSS订阅

本节目由「声湃 WavPub」提供内容托管和数据服务支持。

展开Show Notes
大侠v
大侠v
2023.10.17
21:08 才发现串台到编码人生了😂
正在编码人生听呢,这边就上线啦❤️
姝琦_津津乐道:一会儿主栏目就上线了哈哈哈
icebear29
icebear29
2023.10.19
ideachat 买正版,链接失效了,发邮件没有回复….微信也不行……
姝琦_津津乐道:你加的哪个微信?
icebear29:今天下午回了
5条回复
48:39 我也都是正版,买不起的就不用, 比如Lightroom 我就买不起,那就凑合用苹果自带的.
Abola
Abola
2023.10.27
13:15 这里说的是curl,libcurl么
31:25 别骂了别骂了🤣
17:53 这个QA问题哟……
HD668256z
HD668256z
2023.10.21
51:22 “程序员不愿意花钱”哈哈哈哈哈哈哈哈
Rodin肉丁
Rodin肉丁
2023.10.18
43:50 考虑攻击一下老高的(从网上下的)密码生成器
高春辉
:
在线版。。。
0xE0F
0xE0F
2023.10.17
cool
JayYoung
JayYoung
2023.10.17
我记得以前发生过国内某些开发者的xcode用第三方来源的,导致开发出来的app都被投毒了。现在不是程序员也会用到很多一键脚本,虽然是开源的,但是实际上有能力审查的人没多少,其实影响范围也很大的。还有这种情况,我记得python也有恶意库,就是那种和知名库名字差不多的,一旦你打错了就完了。所以针对开发者的投毒影响范围会不会更大?
Rodin肉丁
Rodin肉丁
2023.10.18
44:56 新装的单机服务器 还没做 bastion 的时候,装个 fail2ban,把规则设置严格一点+关掉root登录和password 登录,能扛很久
LAMP LNMP学校用的应该挺多的 我学web的时候大学考试就让用这个 因为省事教学简单
布谷鸟
布谷鸟
2023.10.16
咋没讲 xshell
闷声发财
闷声发财
2023.10.17
小程序连发和留言
JayYoung
JayYoung
2023.10.17
52:57 套CF的好多网站都被嘎了
无聊的猪
无聊的猪
2023.10.16
24:29 老高这么定位,会被美国制裁的
朱峰
:
我觉得,他生怕轮不到自己呢🤪
无聊的猪:所以想抢先让万恶的美帝注意一下
JayYoung
JayYoung
2023.10.17
19:16 运营商自己就干这事,有时候缓存的版本比源旧。
44:08 我司现在内网访问内网机器也是用bastion
独步91
独步91
2023.10.16
01:53 小板凳坐好了!