正如奥斯卡·王尔德所言,模仿是最真诚的恭维。
勒索软件组织最近盗用了“Prometheus”和“Thanos”这两个名称。关于此事,我们除了通知您正在发生之外,别无他法。您也做不了太多,只能对此保持警惕。
虽然我们没有理由相信该组织会试图诱骗任何人下载我们项目的虚假二进制文件,但我们仍然建议遵循常见的供应链和安全实践。部署软件时,请通过以下机制之一进行:
- 从 Prometheus 和 Thanos 的官方发布页面下载二进制文件,并验证提供的校验和。
- 从官方项目控制的仓库下载 Docker 镜像
- 从您信任的分发渠道获取二进制文件、镜像或容器
- 从您内部的软件验证和部署团队获取二进制文件、镜像或容器
- 自行从源代码构建
除非您能合理地信任其特定的来源和供应链,否则不应使用该软件。
由于该勒索软件组织很可能是故意选择这些名称,因此他们可能会看到这篇博客文章:请停止。无论是指勒索软件本身,还是指命名选择。