2024年软件供应链安全挑战迈入新阶段

2024-11-28 09:59

2024年10月,供应链安全领域遭遇了前所未有的挑战,迈入了一个以创新攻击技术和加密货币为核心威胁的新阶段。本月发生了一系列的震撼性事件,如一种影响多个包生态系统的新型入口点利用技术被曝光,NPM生态系统首次遭遇了以太坊智能合约被恶意利用于构建C2(命令与控制)基础设施,多起通过PyPI包对加密货币钱包的复杂攻击事件相继爆发等等...


这些事件不仅揭示了供应链攻击手段持续进化与高度复杂化的趋势,更是警示了全球软件开发者和企业正面临日益严峻且多变的安全威胁现实。


下面让我们深入了解10月发生的这些事件:


1.新型供应链攻击技术:CLI命令木马化

这种全新的供应链攻击技术利用不同编程生态系统中的入口点,对CLI命令进行木马化。这种隐蔽手法能够轻易绕过传统的安全检查机制,对开发者和企业构成了极大的威胁。


2.lottie-player包遭攻陷,2FA防线失效

尽管启用了双重认证(2FA)作为安全防线,但NPM包lottie-player仍因泄露的自动化令牌而被攻击者成功接管。攻击者在恶意版本中注入了代码,诱导用户连接加密钱包,从而实施窃取行为。


3.加密货币窃取代码潜藏在Python包依赖项中

一次针对PyPI的复杂网络攻击,利用恶意软件包针对加密货币钱包进行了定向攻击。攻击者采取欺诈手段,在依赖项中隐秘植入恶意代码,这些代码仅在调用特定函数时才被激活,极大地增加了检测的难度。



4.多向量供应链攻击瞄准加密货币爱好者

一个名为“cryptoaitools”的恶意PyPI包通过多向量供应链攻击,将目标锁定在加密货币爱好者身上。该恶意包利用欺骗性的图形用户界面(GUI)、多阶段感染和全面的数据泄露手段,从Windows和macOS用户那里窃取与加密货币相关的信息。



5.利用以太坊智能合约分发跨平台恶意软件

一次复杂的NPM供应链攻击利用以太坊智能合约进行C2分发。这款跨平台恶意软件针对流行的测试包,通过拼写钓鱼(Typosquatting)策略和预安装脚本,对Windows、Linux和macOS系统均构成了威胁。


当前,创新的攻击技术与针对加密货币的威胁交织在一起,使得供应链安全的形势愈发严峻。面对这些日益复杂的威胁,我们必须时刻保持警惕,加强安全防护措施,不断提升自身的安全意识和能力,以应对这些新的挑战。


文章来源:https://checkmarx.com/blog/october-2024-in-software-supply-chain-security/,本文由网安加社区编译。