分布超过800个恶意NPM包 软件供应链攻击活动增长迅速
随着数字化转型的加速,针对软件供应链的攻击事件一直呈快速增长态势。恶意软件无孔不入,不但影响软件开发企业,而且造成大规模供应链攻击。
近日,网络安全公司发现一个名为“RED-LILI”的威胁参与者发布了近800个恶意模块,与一场针对NPM包库的大规模供应链攻击活动有关。
“通常,攻击者使用一个匿名的一次性NPM账户来发动攻击。”“这一次,攻击者似乎完全自动化了NPM账户创建的过程,并打开了专用账户,每个包一个,这使得他的新恶意包更难被发现。”
在其一份报告中介绍了数百个NPM包,这些包利用了依赖混淆和类型推断等技术来针对Azure、Uber和Airbnb的开发者。
为了突破NPM设置的一次性密码(OTP)验证障碍,攻击者利用名为Interactsh的开源工具提取NPM服务器发送到注册时提供的电子邮件地址的OTP,有效地允许帐户创建请求成功。
随着软件供应链攻击者技能的提高,安全防御人员需要实时更新技能以应对其复杂的攻击。
针对软件供应链安全攻击爆发增长
根据Argon Security的一项研究,与2020年相比,2021年的软件供应链攻击增长了300% 以上。
研究人员发现攻击者主要关注开源漏洞和恶意软件、代码完整性问题,以及利用软件供应链流程和供应商信任分发恶意软件或后门。他们发现,跨软件开发环境的安全级别仍然很低,而且值得注意的是,每一家被评估的公司都有漏洞和配置错误,这些都可能使他们暴露在供应链攻击之下。
软件供应链攻击三个主要风险领域
1. 漏洞包的使用:
开源代码几乎是商业软件的一部分。许多正在使用的开源软件包都存在漏洞,升级到更安全版本的过程需要开发团队和DevOps团队的努力。这是实施供应链攻击增长最快的方法之一。
有两种常见的攻击利用存在安全问题的软件包:
利用现有漏洞:利用包的现有漏洞来获取对应用程序的访问权限并执行攻击。(例如:前段时间的Log4j网络攻击)
包中毒:在流行的开源包和私有包中植入恶意代码,以诱骗开发人员或自动化管道工具将它们合并为应用程序构建过程的一部分。(示例:us-parser-js包中毒,在开源库分发恶意软件)
2.受损的管道工具:
攻击者可以利用CI/CD管道基础设施(例如源代码管理系统、构建代理、包注册表和服务依赖项)中的特权访问、错误配置和漏洞,从而提供对关键IT基础设施、开发过程、源代码和应用程序的访问。
受损的CI/CD管道可能会暴露应用程序的源代码,即应用程序、开发基础设施和流程的蓝图。它使攻击者能够在构建过程中更改代码或注入恶意代码并篡改应用程序(例如SolarWinds)。
这种类型的漏洞很难识别,在被发现和解决之前可能会造成很大的损害。攻击者还使用被破坏的包注册中心来上传被破坏的构件,而不是合法的构件。
3.代码/组件完整性:
Argon研究中确定的主要风险领域之一是将不良代码上传到源代码存储库,这直接影响组件质量和安全状况。在大多数客户环境中发现的常见问题是代码中的敏感数据(秘密)、代码质量和安全问题、基础设施即代码问题、容器映像漏洞和错误配置。在许多情况下,发现的问题数量众多,需要专门的清理项目来减少暴露,例如秘密清理、标准化容器映像等。
“软件供应链流程是现代应用程序开发生命周期的核心组成部分。让这种广泛的攻击向量处于开放状态,可能会严重降低公司的应用程序安全状况,甚至可能会暴露敏感数据并在运行时为应用程序创建额外的入口点,”Orzel称。
保护软件供应链
为了解决这个问题,安全团队需要加强与DevOps团队的协作,并在开发过程中实现安全检测自动化,如利用静态代码检测工具、开源组件分析工具等进行漏洞管理。组织应实时更新新的安全解决方案,来保护软件开发过程免受不断升级的网络攻击。