“观星者哥布林”的警示:瞄准病急乱投医的软件供应链水坑攻击
软件供应链攻击的新手法层出不穷,皆因一旦攻击得手,成本和收益几乎不具备可比性。例如被笔者反复老调重弹的太阳风网络攻击事件,美国政府方面的实际损失情况依然是讳莫如深,估计是非常严重。
上周末,Check Point Research 发现在 GitHub 上有网络化的大量账号在分发恶意软件和恶意链接。与过往情况相比,这次的手法更复杂和更具人性化。Check Point Research 将这组恶意攻击者统称为“Stargazer Goblin”,把这些账号形成的网络命名为 Stargazers Ghost Network[1]。
笔者在分析该事件的过程中,构想了一种软件供应链攻击的可能性,而且颇为契合当前国产化改造潮,需要警惕。
笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士
首先还是说说“观星者哥布林”。据报道,这次发现的恶意攻击者使用了至少三千个账号,行动过程有组织、有层次和有针对性。
与过往情况相比最大的区别是,这些账号还进行了一些 git 操作,比如对项目加星标(所以叫观星者),创建分支,订阅其它安全研究员设置的恶意软件样本收集仓库等,从而使自己显得是真实和正当的用户。
这个组织的具体行为分为三个阶段:
1、首先是网络钓鱼,但不使用电子邮件而是在诸如 Discord,Twitter,Tiktok 这样的社交网络上发布链接。
由于攻击者面向的是专业人员(软件开发者),而专业人员对于电子邮件钓鱼接近免疫,所以攻击者主要通过社交网络开展欺骗,然后再辅以其他相关手段比如即时通信工具和电子邮件。
2、受害者点击链接后被导向到 GITHUB 上的恶意用户页面。由于这些恶意用户形成了用户网络,不仅会创建项目分支,还会相互加星关注或相互验证,使其显得像是真人执行的良性行为,所以极具迷惑性。
3、受害者如果产生了信任,就可能会察看这些恶意用户所创建的项目,而通常就是先打开项目的 README.MD 文件看看介绍(GITHUB 默认也会在项目页面显示该文件内容),而部分恶意用户创建的项目的 README.MD 文件包含有指向恶意软件的链接。
4、重点是,该恶意软件的链接并不是简单的一次跳转链接,而是用三个 GITHUB 账号构成的,分别提供了钓鱼仓库模版、钓鱼模版影像和在项目 RELEASE 发布的恶意软件,三者构成的分级和分布式关系使其网络的整体生存能力被强化,不容易被整体关闭。
而且,研究员认为,这些看起来正常的软件项目和项目操作,很有可能是通过AI产生的,甚至一些对真实用户的反馈都是AI生成的。
可见网络安全中,攻击者在应用新概念、新理论和新手段方面依然是走在前面。
“观星者哥布林”的行动实际是相当成功的,据报道,仅仅在2024年1月份的4天时长内,研究机构就已经确认其通过分发 Atlantida Stealer ,一种专门偷用户凭据和加密货币自托管钱包以及其他一些个人身份信息的恶意软件,并得手超过1300次。
关于“观星者哥布林”的更多情况,笔者不赘述,读者有兴趣可以自行进一步搜索获取。
软件供应链攻击+水坑攻击,不算是很新鲜的事情了。
比如之前被命名为“IconBurst”的对 NPM 实施的软件供应链攻击,就是比较典型的一例[2],而事后大家都对热门的代码组件提高了警觉性。
关键是,如果下一个哥布林所执行的不是直接分发恶意软件,而是分发被精心篡改、分叉、迭代后的软件组件代码?
尤其是,如果下一个哥布林故意:
选择一些老旧、原作者停止维护的软件组件进行分叉;
通过 AI 对源代码进行似是而非的 BUG 修正或真实的现代化调整;
通过机器人账户相互推拉代码,形成项目活跃效果;
最后,通过社交网络吸引需要对现有正在运行的老旧信息系统进行重构但又因为软件组件已经停止维护而束手无策的开发人员?
以上种种设想,在这次“观星者哥布林”的实践下,都已经不难实现了。
所以,软件供应链安全管理是越来越重要,难度和复杂度也是越来越高。
参考链接:
[1] Stargazers Ghost Network https://research.checkpoint.com/2024/stargazers-ghost-network/
[2] IconBurst npm software supply chain attack grabs data from apps and websites https://www.reversinglabs.com/blog/iconburst-npm-software-supply-chain-attack-grabs-data-from-apps-websites
本站微信订阅号:
本页网址二维码: