过去二十年最危险的数字供应链攻击

“古老”的供应链攻击为何成为2020年业界公认的六大新兴威胁之一？除了华硕“影锤”、苹果“Xcode”、CCleaner这些令人闻风丧胆的切尔诺贝利和福岛级别的供应链攻击以外，过去十年在数字（软件）供应链领域，我们还经历了哪些已经发生，并且很可能依然在持续泄露或者“辐射”，值得我们反思和复盘，预防“毁灭性喷发”可能性的供应链攻击事件？

根据ESG和Crowstrike的2019年供应链安全 告：

16％的公司购买了被做过手脚的IT设备。

90％的公司“没有做好准备”应对供应链 络攻击。

在安全牛“供应链安全五大数字风险”一文中，“企业或者供应商软件漏洞”和“被植入恶意软件的软硬件”占据了两席，软件（包括固件）供应链正在成为黑客实施供应链攻击的重要突破口，而且此类攻击往往能够“突破一点，打击一片”，危害性极大，甚至很多 络安全软件自身都存在供应链风险。

2015年9月14日，国家互联 应急中心CNCERT发布预警通告，目前最流行的苹果应用程序编译器XCODE被植入了恶意代码（XcodeGhost）。超过一亿部iOS移动终端受到影响，包括 易云音乐、微信等头部APP悉数中招。

2017年6月末，NotPetya恶意软件袭击了全球59个国家的跨国企业，世界首屈一指的集装箱货运公司马士基航运接单受阻，充分验证了供应链面临的巨大威胁。航运订单之前只能通过电话下单，马士基航运集团刚刚引入数字化策略，攻击便发生了。

2017年9月18日，思科Talos安全研究部曝光计算机清理工具CCleaner的更新被黑客嵌入后门，潜入数百万个人电脑系统中。该攻击摧毁了消费者对CCleaner开发者Avast的基本信任，其他软件公司也受牵连，消费者信任下滑。因为恶意软件竟是捆绑到合法软件中分发的，而且还是安全公司出品的合法软件。

19年年初，卡巴斯基 告了影锤行动（ShadowHammer），披露这是一起利用华硕升级服务的供应链攻击，不计其数的用户在使用该软件更新时可能会安装植入后门程序的软件更新包。

根据埃森哲2019年的一项调查，受访的4600家企业中40%曾因供应商遭受 络攻击而发生数据泄露，大量企业 告直接攻击减少的同时，通过供应链发起的“间接攻击”却呈上升趋势。19年2月，赛门铁克发布 告显示，过去一年全球供应链攻击爆增78%，并特别强调2019年全球范围内供应链攻击活动仍在继续扩大。

近年来，供应链攻击的常态化已经是APT攻击的重大趋势，以下是过去二十年最具破坏力的技术（软件）供应链攻击：

软件供应链入侵一览表（SIG安全小组）

虽不能记录每个已知供应链攻击，但捕捉了各种不同类型软件供应链攻击案例。编撰此表可帮助安全人员更好地理解供应链入侵的模式，开发出最佳实践与工具。

Purescript nmp安装程序依赖项恶意代码

恶意代码已插入purescript npm安装程序的依赖项中。该代码已插入到load-from-cwd-or-npm和rate-map包中。

影响

带有后门的第一版于2019年5月7日21:00UTC发布。2019年7月9日世界标准时间01:00发布了不包含后门程序的更新版本。NPM官方下载统计数据表明，这些软件包每周下载约1400次。

入侵类型

攻击者已经获得了软件包维护者的npm帐户的访问权限。

Electron原生通知

Agama加密货币钱包用户成为恶意软件攻击对象，npm公司安全团队与Comodo合作，护住当时价值1,300万美元的加密货币资产。

该攻击专注往Agama构建链中植入恶意软件包，盗取钱包种子和该应用中使用的其他登录密码。

影响

Agama加密货币钱包用户损失资金。损失总数未知，但若npm/Comodo没能早点儿发现的话，有可能高达1,300万美元。

入侵类型

攻击者似乎是盗取了一名流行软件包开发者的凭证。也有可能该软件包的开发者故意将此软件包做成“有用软件包”，以便混入攻击载荷。

ShadowHammer

华硕公司更新服务器被黑，向华硕用户分发华硕实时更新实用程序(ASUS Live Update Utility)应用的签名后门版。此应用程序为华硕制造的Windows计算机上预装软件，用于交付BIOS/UEFI固件、硬件驱动和其他华硕工具的更新。

影响

超一百万用户可能下载并安装了此应用程序的后门植入版。卡巴斯基的一份 告显示，卡巴斯基用户中超5.7万安装了被植入后门的华硕实时更新实用程序。有趣的是，该攻击的第二阶段部署在至少6,000台特定系统中。用于接收第二阶段攻击载荷的MAC地址是硬编码的。

入侵类型

看起来，攻击者至少可以访问此更新基础设施和代码签名密钥。

PEAR漏洞

PHP库的分发系统PHP扩展与应用程序存储库(PEAR)服务器被黑，原始PHP PEAR包管理器(go-pear.phar)被替换成了修改版。

影响

入侵类型

攻击者似乎攻陷了此发布平台。由于不涉及代码签名，攻击者无需盗取任何密钥，仅仅染指此基础设施即可。

Dofoil

攻击者入侵了名为MediaGet的流行BitTorrent客户端更新服务器，以签名后门程序传播恶意加密货币挖矿机。

影响

此攻击可能成功染指了俄罗斯、土耳其和乌克兰的40多万台PC。

入侵类型

攻击者似乎入侵了此发布平台，还能入手该软件包的签名密钥。

Operation Red

攻击者入侵了远程支持解决方案供应商的更新服务器，向位于韩国的目标企业投送恶意更新包。此恶意更新包经由该远程解决方案供应商的被盗有效证书签名。

攻击者首先侵入该更新服务器，然后将服务器配置成仅向位于目标企业IP地址范围内的客户端分发恶意文件。

影响

不适用

入侵类型

攻击者似乎入侵了该发布平台，并且可以访问更新包的签名密钥。

Gentoo事件

攻击者获取了GitHub Gentoo控制权，清楚了开发者对Gentoo代码库的访问权，修改了库中内容及页面。

影响

不适用

入侵类型

攻击者似乎黑掉了该源代码库，但拿不到开发者密钥。

未知PDF生成器

影响

入侵类型

这是向开发者投放的假冒工具包。

Colourama

Colourama采用打错字抢注的方法注册与Colorama形似的软件包。Colorama是PyPI中日下载量达百万级的20大流行合法模块之一。Colourama软件包包含针对Windows系统的恶意软件，实现加密货币剪贴板劫持功能，能够将比特币支付从受害者主机转移至攻击者的比特币地址。

影响

Colourama早在2017年12月初就注册了。目前尚不清楚自那以后此恶意包被下载了多少次。媒体Medium 道称，2018年10月的下载次数是55次。

入侵类型

错字抢注攻击无需入侵任何基础设施。

Foxif/CCleaner

受感染的CCleaner会在真正的CCleaner安装前先安装一个恶意软件。被植入恶意软件的CCleaner是用有效证书签名的，且通过合法CCleaner下载服务器分发给用户。

鉴于受感染版本CCleaner经由有效签名签发，造成这种情况有几种可能性。可能是开发、构建或打包步骤的签名过程被破坏，也可能哪一步的产品签发前遭到了恶意注入。

影响

由于CCleaner截止2016年11月时拥有20亿下载量，每周新增用户数近500万，感染影响可能非常严重。

入侵类型

攻击者可能是通过入侵版本控制系统、打包过程或发布平台完成感染。最后一步可能需盗取签发官方CCleaner发行版的签名密钥。

HandBrake

HandBrake是Mac系统流行视频转换器，其下载服务器之一上被替换成了恶意版本。下载安装了恶意版本的受害者会被攻击者获取系统管理员权限。

影响

不适用

入侵类型

攻击者似乎攻陷了此发布平台。由于不涉及代码签名，攻击者无需盗取任何密钥，仅仅染指此基础设施即可。

Kingslayer

攻击者可能入侵了应用（系统管理员用来分析Windows日志的）的下载服务器，将合法应用和更新替换成了经签名的恶意版本。

影响

使用Alpha免费版软件（被黑版）的组织包括：

·4家主流电信供应商

·10+西方军事机构

·24+财富500公司

·5家主流国防承包商

·36+主流IT产品制造商或解决方案提供商

·24+西方政府机构

·24+银行和金融机构

·45+高等教育机构

入侵类型

攻击者攫取了此发布平台（如下载服务器）和打包程序签名密钥的权限。

HackTask

HackTask用错字抢注的方法注册与npm流行库名字类似的软件包。攻击者以此盗取开发者的凭证。

影响

npm库中发现38个假冒JS软件包。这些软件包在入侵事件发生的两周时间内被下载了至少700次。

入侵类型

错字抢注攻击无需入侵任何基础设施。

Shadowpad

黑客向Netsarang分发的服务器管理软件产品中植入了后门程序，该产品已被全球数百家大型企业使用。激活后门后，攻击者可以下载其他恶意模块或窃取数据。“Shadowpad”是规模和实际影响最大的供应链攻击之一。

影响

黑客渗透了数百家银行、能源企业和医药公司。

入侵类型

应用后门植入。

NotPetya

NotPetya侵入软件基础设施，篡改补丁代码。该恶意软件感染了乌克兰会计软件MeDoc的更新服务器。攻击者以之向MeDoc应用植入后门，投送勒索软件和盗取凭证。由于掌控了更新服务器，攻击者能够在被感染主机上更新恶意软件。

值得注意的是，攻击者似乎拥有MeDoc源代码的访问权，否则他们应该不可能植入此类隐藏后门。

影响

不适用

入侵类型

攻击者似乎能够入侵MeDoc的软件发布平台、更新服务器和版本控制系统，甚至可能入手了更新包签名密钥。

Bitcoin Gold

获取到GitHub存储库权限的攻击者植入了带后门的比特币钱包。因此，没下载官方版而下载了受感染版本的用户，如果用此恶意软件创建新钱包，可能会丢失他们的私钥。

影响

4.5天窗口期内下载了被黑钱包的用户可能面临私钥被盗风险。

入侵类型

攻击者似乎获取了版本控制系统权限，但不能以开发者名义签名。

ExpensiveWall

注入免费Android应用（壁纸）中的恶意软件，可替受害者秘密注册付费服务。应用中的恶意代码源自Android开发者使用的被黑软件开发包(SDK)。注意，ExpensiveWall使用了混淆方法隐藏恶意代码，可绕过杀毒软件防护。

影响

至少5,904,511台设备受影响，而据此技术 告，最多可达21,101,567台设备受影响。

入侵类型

攻击者能够入侵开发者主机的工具链，在生成的应用中植入后门。可据此判断，开发者密钥应该是被盗取了。

Elmedia播放器

攻击者入侵Eltima的下载服务器，然后分发两款应用程序，Folx和Elmedia播放器，均带有恶意软件。

影响

该攻击可能影响数百名用户。

入侵类型

攻击者入侵Elmedia播放器和Folx软件供应商Eltima的发布平台。

Keydnap

流客户端Transmission的下载服务器，被黑后上传了该客户端的恶意版本。此软件的恶意副本似乎采用了被盗苹果开发者的合法证书签名。

影响

不适用

入侵类型

影响发布平台，利用开发者证书（与Transmission无关人员的）签名，呈现貌似合法的安装过程。

Fosshub被黑事件

黑客入侵了流行文件托管服务FOSSHub，将多个应用的合法安装程序替换成了恶意副本。

注意：有些软件项目，比如Classic Shell、qBittorrent、Audacity、MKVToolNix等，将FOSSHub用作主要文件下载服务。

影响

2016年8月第一周从FOSSHub下载安装Classic Shell和Audacity软件包的用户。

入侵类型

攻击者入侵了此发布平台。

被黑Linux Mint