根据网上已有的资料,黑暗幽灵(DCM)木马的传播方式之一是通过向正常软件的更新程序里注入代码进行感染传播的。这些软件的更新程序既没有通过安全的通道下载更新程序(使用 http 而不是 https ),并且也没有验证哈希值,或者是公私钥签名。所以中间人很容易通过感染这些程序来感染目标。 以上是背景。 由于网络环境原因,很多东西都使用了镜像站( dockerhub 、pypi 等等)。假设这些镜像站有由于不可抗力的原因存在被篡改的可能,目前是否有比较方便的方法验证下载到的内容没有经过篡改? 目前已知 apt/yum 的软件包都会通过 gpg 验证,因此使用 apt 、yum 的镜像是安全的。但是 dockerhub 、pypi 似乎都没有公私钥签名,平常使用过程中该注意什么?
