典型軟件供應鏈攻擊行為有哪些

典型軟件供應鏈攻擊行為有以下這些：

• 污染軟件開發工具及編譯過程，添加后門、捆綁惡意軟件等，在XcodeGhost事件中，超過4000個iOSAPP是用被污染的XCode所開發，并在編譯過程中被植入惡意代碼，受制于國際帶寬的影響，此下載速度非常緩慢，黑客正是利用這一點，將被污染的XCode上傳到國內各種服務器并推廣下載鏈接，讓很多開發者猝不及防。

• 直接污染代碼，添加后門，XShell被發現植入了后門代碼，并經過官方的代碼簽名，可導致使用該工具的用戶泄露所管理的主機敏感信息；據分析，黑客極有可能入侵了相關開發人員的電腦。

• 污染社區軟件源，誤導用戶下載惡意的開源組件，并使用在生產環境，很多軟件源實際上并沒有一個官方組織對其負責，常見的如Python的pip源、npm源等，都是人人可以上傳的社區源。

• 入侵官方網站，替換官方軟件或升級包。黑客通過入侵官方的web服務器將原有的官方軟件或者其補丁修改為木馬程序，或者其他一些惡意病毒，當受害者下載時會將這些惡意病毒下載執行。

• 黑客向正常的開源組件貢獻惡意代碼，尋求合入主分支，或者嘗試向那些沒有精力維護開源組件的原作者索取控制權。

回答所涉及的環境：聯想天逸510S、Windows 10。