隨著 2024 年的到來,軟體供應鏈攻擊將持續以驚人的速度增長,這可以說是我唯一可以肯定的預測。作為 Phylum 研究部門的負責人,我的團隊的工作就是追蹤整個開源軟體生態系統中的惡意行為者,而 2023 年我們看到了許多令人擔憂的發展。我們在 2023 年第四季度的研究報告揭示,軟體供應鏈是最容易受到攻擊和最受歡迎的攻擊向量之一。因為開源軟體被用在 97% 的專案中,佔超過 70% 的代碼庫,這使得它成為一個易於瞄準的目標。該研究發現,受攻擊的組織數量和攻擊的複雜程度都有顯著增加,尤其是在金融和加密貨幣組織中,以獲取金錢為主要動機。
進入 2024 年,盜取生產系統的憑證和竊取金融資源(如個人身份信息、加密貨幣等)等常見攻擊手法將繼續成為主要威脅。攻擊者還將繼續採用勒索軟件式的攻擊手法 - 利用對客戶數據和資產的訪問權限,並通過威脅洩露被盜信息來勒索組織支付贖金。
意外的數字
這份季度研究報告顯示,與上一個季度相比,發布的軟件包有些許下降。但是,受攻擊組織的數量大幅增加 - 相比 2023 年第三季度增加了 262.63%,而第三季度比第二季度增加了 47%。這清楚地展現了 2023 年直接針對性攻擊不斷增加的趨勢。
儘管發布的軟件包數量低於先前的報告,但更多的包聚焦於特定組織,並顯示了與軟體供應鏈威脅相關的特定方法。
身份誤認
依賴混淆(Dependency Confusion)是一種軟體供應鏈攻擊,它利用了包管理器的一種混淆狀態 - 在檢查私有註冊表之前,首先在公共註冊表中查找命名的軟件包。攻擊者可以在公共註冊表上註冊一個同名的惡意軟件包,希望包管理器會誤把它下載為合法的軟件包。
另一種利用公共註冊表的方法是品牌劫持(Brandsquatting)。在這種方法中,威脅行為者使用流行的品牌名稱來掩蓋他們的惡意代碼,誘導、誤導和欺騙開發者下載惡意軟件包。
攻擊者越隱蠅越能獲得更大收益
在最近的研究中,兩種常見的針對軟體供應鏈的方法浮現出來:盜取生產系統的憑證和竊取金融資源(如銀行帳戶信息、加密貨幣等)。
在一次攻擊中,一個威脅行為者瞄準了一組廣泛使用的雲端服務 SDK。對代碼的審查發現,攻擊者特別對管理和處理憑證的關鍵部分感興趣。這觸發了一個隱蔽的 HTTP POST 請求,將用戶的訪問金鑰和密鑰發送到攻擊者控制的遠程 URL。通過對這些經過修改的軟件包進行輕微修改並在 PyPI 上重新發布,使用相似的名稱,攻擊者巧妙地融入其中,在不被發現的情況下維持了軟件包的預期功能。
這種方法在至少 5 個軟件包中使用,涉及一種簡單而有效的技術來掩蓋遠程 URL,展現了一種精心策劃的方法,以滲透進開發人員工作站和生產基礎設施中受信任的軟件組件。
一些組織採取主動的安全措施
2023 年 12 月,一篇報導披露了另一組非常複雜的軟件包的發現。與其他一些攻擊行為不同,這次攻擊非常有針對性。
這些軟件包包含一個加密組件,只有在特定網絡內的本地機器環境中解密密鑰(即主機名)後才能執行。一旦解密,載荷就會被執行,用戶憑證將在網絡內橫向移動到 Microsoft Teams Webhook。這只留下了幾個可能性:要麼是一個威脅行為者深入滲透了網絡,要麼是一次安全審核,要麼是內部人員的行為。
意識到這些軟件包的特殊目標,我們聯繫了受害組織,警告並緩解了這次攻擊。如果這是一個外部威脅行為者,組織需要在其造成重大損害之前得到通知。
進一步的分析發現,這是一次非常先進和複雜的攻擊,可以媲美其他 APT(Advanced Persistent Threat,高級持續威脅)攻擊行為。
然而,一旦與目標公司取得聯繫,我們發現這實際上是一項廣泛的內部安全評估的一部分,目的是模擬當前最嚴峻的現實世界威脅。被模擬的攻擊旨在複製組織在軟體供應鏈被利用進入其網絡時所看到的行為。
為何組織應將軟體供應鏈安全列為優先事項
在 2024 年,攻擊者將變得更加sophisticate,找到新的方法通過利用軟體供應鏈進入組織的寶貴客戶和公司數據。像依賴混淆和品牌劫持這樣的方法只是一個開始,它們很容易欺騙軟件包管理器和開發人員。
加強對軟體供應鏈的關注應該成為組織安全組合的關鍵組成部分,尤其是金融和加密貨幣行業。
詳情請看:
Software supply chain attacks are escalating at an alarming rate