供应链妥协

对手可能在最终消费者收到产品之前操纵产品或产品交付机制，以实现数据或系统妥协。 供应链妥协可以发生在供应链的任何阶段，包括： * 操纵开发工具 * 操纵开发环境 * 操纵源代码库（公共或私有） * 操纵开源依赖项中的源代码 * 操纵软件更新/分发机制 * 受感染的系统镜像（多个案例中在工厂感染的可移动媒体）(引用: IBM Storwize)(引用: Schneider Electric USB Malware) * 用修改版本替换合法软件 * 向合法分销商销售修改/伪造产品 * 拦截运输 虽然供应链妥协可以影响硬件或软件的任何组件，但对手希望获得执行权限时，通常会专注于在软件分发或更新渠道中添加恶意内容。(引用: Avast CCleaner3 2018)(引用: Microsoft Dofoil 2018)(引用: Command Five SK 2011) 目标可能是特定的受害者集，或者恶意软件可能分发给广泛的消费者，但仅在特定受害者上继续进行其他战术。(引用: Symantec Elderwood Sept 2012)(引用: Avast CCleaner3 2018)(引用: Command Five SK 2011) 作为许多应用程序依赖项使用的流行开源项目也可能成为目标，以便向依赖项的用户添加恶意代码。(引用: Trendmicro NPM Compromise)