分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速

隨著數字化轉型的加速，針對軟體供應鏈的攻擊事件一直呈快速增長態勢。惡意軟體無孔不入，不但影響軟體開發企業，而且造成大規模供應鏈攻擊。

近日，網路安全公司發現一個名為“RED-LILI”的威脅參與者釋出了近800個惡意模組，與一場針對NPM包庫的大規模供應鏈攻擊活動有關。

“通常，攻擊者使用一個匿名的一次性NPM賬戶來發動攻擊。”“這一次，攻擊者似乎完全自動化了NPM賬戶建立的過程，並開啟了專用賬戶，每個包一個，這使得他的新惡意包更難被發現。”

在其一份報告中介紹了數百個NPM包，這些包利用了依賴混淆和型別推斷等技術來針對Azure、Uber和Airbnb的開發者。

為了突破NPM設定的一次性密碼(OTP)驗證障礙，攻擊者利用名為Interactsh的開源工具提取NPM伺服器傳送到註冊時提供的電子郵件地址的OTP，有效地允許帳戶建立請求成功。

隨著軟體供應鏈攻擊者技能的提高，安全防禦人員需要實時更新技能以應對其複雜的攻擊。

針對軟體供應鏈安全攻擊爆發增長

根據Argon Security的一項研究，與2020年相比，2021年的軟體供應鏈攻擊增長了300% 以上。

研究人員發現攻擊者主要關注開源漏洞和惡意軟體、程式碼完整性問題，以及利用軟體供應鏈流程和供應商信任分發惡意軟體或後門。他們發現，跨軟體開發環境的安全級別仍然很低，而且值得注意的是，每一家被評估的公司都有漏洞和配置錯誤，這些都可能使他們暴露在供應鏈攻擊之下。

軟體供應鏈攻擊三個主要風險領域

1. 漏洞包的使用：

開原始碼幾乎是商業軟體的一部分。許多正在使用的開源軟體包都存在漏洞，升級到更安全版本的過程需要開發團隊和DevOps團隊的努力。這是實施供應鏈攻擊增長最快的方法之一。

有兩種常見的攻擊利用存在安全問題的軟體包：

利用現有漏洞：利用包的現有漏洞來獲取對應用程式的訪問許可權並執行攻擊。(例如：前段時間的Log4j網路攻擊)

包中毒：在流行的開源包和私有包中植入惡意程式碼，以誘騙開發人員或自動化管道工具將它們合併為應用程式構建過程的一部分。(示例：us-parser-js包中毒，在開源庫分發惡意軟體)

2.受損的管道工具：

攻擊者可以利用CI/CD管道基礎設施(例如原始碼管理系統、構建代理、包登錄檔和服務依賴項)中的特權訪問、錯誤配置和漏洞，從而提供對關鍵IT基礎設施、開發過程、原始碼和應用程式的訪問。

受損的CI/CD管道可能會暴露應用程式的原始碼，即應用程式、開發基礎設施和流程的藍圖。它使攻擊者能夠在構建過程中更改程式碼或注入惡意程式碼並篡改應用程式(例如SolarWinds)。

這種型別的漏洞很難識別，在被發現和解決之前可能會造成很大的損害。攻擊者還使用被破壞的包註冊中心來上傳被破壞的構件，而不是合法的構件。

3.程式碼/元件完整性：

Argon研究中確定的主要風險領域之一是將不良程式碼上傳到原始碼儲存庫，這直接影響元件質量和安全狀況。在大多數客戶環境中發現的常見問題是程式碼中的敏感資料(祕密)、程式碼質量和安全問題、基礎設施即程式碼問題、容器映像漏洞和錯誤配置。在許多情況下，發現的問題數量眾多，需要專門的清理專案來減少暴露，例如祕密清理、標準化容器映像等。

“軟體供應鏈流程是現代應用程式開發生命週期的核心組成部分。讓這種廣泛的攻擊向量處於開放狀態，可能會嚴重降低公司的應用程式安全狀況，甚至可能會暴露敏感資料並在執行時為應用程式建立額外的入口點，”Orzel稱。

保護軟體供應鏈

為了解決這個問題，安全團隊需要加強與DevOps團隊的協作，並在開發過程中實現安全檢測自動化，如利用 靜態程式碼檢測工具、開源元件分析工具等進行漏洞管理。組織應實時更新新的安全解決方案，來保護軟體開發過程免受不斷升級的網路攻擊。