数十个易受攻击的NuGet软件包允许攻击者攻击目标网络平台

对NuGet repository上托管的现成软件包的分析显示，51个独特的软件组件容易受到积极利用的高严重性漏洞的攻击，再次强调了第三方依赖性对软件开发过程构成的威胁

ReversingLabs研究员Karlo Zanki在与《黑客新闻》分享的一份报告中表示，鉴于针对软件供应链的网络事件越来越多，迫切需要评估此类第三方模块的任何安全风险，并将攻击面降至最低

NuGet是Microsoft支持的用于。NET平台，其功能是作为包管理器，旨在使开发人员能够共享可重用代码。该框架拥有超过26.4万个独特软件包的中央存储库，这些软件包的下载量总计超过1090亿次

“我们研究中确定的所有预编译软件组件都是7Zip、WinSCP和PuTTYgen的不同版本，这些程序提供复杂的压缩和网络功能，”Zanki解释道。“它们会不断更新，以改进其功能并解决已知的安全漏洞。然而，有时其他软件包会得到更新，但仍会继续使用包含已知漏洞的多年依赖项。”

在一个例子中，发现“WinSCPHelper”和#8212；一个远程服务器文件管理库，已下载超过35000次—；使用旧的易受攻击的WinSCP版本5.11.2，而今年1月早些时候发布的WinSCP版本5.17.10解决了一个严重的任意执行漏洞（CVE-2021-3331），从而使软件包用户暴露于该漏洞之下。

此外，研究人员确定，从NuGet软件包中提取的50000多个软件组件静态链接到易受攻击的“zlib”数据压缩库版本，使它们面临几个已知安全问题的风险，如CVE-2016-9840、CVE-2016-9841、CVE-2016-9842和CVE-2016-9843

一些被观察到存在zlib漏洞的软件包是“DicomObjects”和“librdkafka.redist”，它们的下载次数分别不少于50000次和1820万次。更令人担忧的是，“librdkafka.redist”被列为其他几个流行软件包的依赖项，包括Confluent。ApacheKafka（Confluent.Kafka）的NET客户端，该客户端到目前为止已被下载超过1760万次

“开发软件解决方案的公司需要更多地意识到这些风险，并需要更多地参与其处理，”Zanki说。“需要检查软件开发过程的输入和最终输出是否存在篡改和代码质量问题。透明的软件开发是早期检测和预防软件供应链攻击所需的关键之一。”