供应链投毒预警 | 开源供应链投毒202404月报发布(含投毒案例分析)
内容提要
悬镜供应链安全情报中心发现大量开源组件恶意包投毒攻击事件,NPM仓库投毒占比89%,Pypi仓库投毒占比11%。攻击方式包括恶意文件执行、下载、代码混淆、释放和Shell命令执行。信息窃取攻击占比93%,主要窃取系统基础信息、密码文件和系统日志。投毒样本包括恶意包、反向Shell后门、CStealer窃密后门和挖矿后门。OpenSCA-cli工具提供排查方式。
关键要点
-
悬镜供应链安全情报中心发现大量开源组件恶意包投毒攻击事件,NPM仓库投毒占比89%,Pypi仓库投毒占比11%。
-
攻击方式包括恶意文件执行、下载、代码混淆、释放和Shell命令执行。
-
信息窃取攻击占比93%,主要窃取系统基础信息、密码文件和系统日志。
-
投毒样本包括恶意包、反向Shell后门、CStealer窃密后门和挖矿后门。
-
OpenSCA-cli工具提供排查方式。
-
4月份捕获772个不同版本的恶意组件包,NPM和Pypi仓库的恶意组件数量统计。
-
攻击者常用的投毒手段包括恶意文件执行(84.25%)和恶意文件远程下载执行(8.64%)。
-
Pypi仓库的恶意投毒攻击在3月份后有所下降,审查力度加强。
-
CStealer后门和挖矿后门投毒事件逐渐增多,针对数字钱包应用的攻击有所减少。
-
恶意包通过包管理器执行隐藏的恶意代码,窃取系统敏感信息。
-
攻击者利用反向Shell后门实现远程控制,恶意代码通过计划任务持久化。
-
恶意木马通过伪装成知名组件进行投毒,下载并执行恶意程序。
-
针对数字钱包应用的劫持攻击和挖矿后门投毒攻击日趋严重。
-
悬镜供应链安全情报中心提供实时动态监测与溯源分析,保障数字供应链安全。
延伸问答
开源组件投毒攻击的主要方式有哪些?
主要方式包括恶意文件执行、恶意文件下载、代码混淆、释放和Shell命令执行。
在2024年4月,NPM和Pypi仓库的恶意组件投毒比例是多少?
NPM仓库投毒占比89%,Pypi仓库投毒占比11%。
信息窃取攻击的主要目标是什么?
主要目标包括系统基础信息、密码文件、系统日志等敏感信息。
如何使用OpenSCA-cli工具排查受影响的组件包?
开发者可将受影响的组件包信息保存为db.json文件,并执行命令:opensca-cli -db db.json -path ${project_path}。
CStealer后门攻击的主要功能是什么?
CStealer后门主要功能包括收集系统敏感信息、浏览器隐私数据和数字钱包应用数据。
Pypi仓库的恶意投毒攻击在3月份后有什么变化?
Pypi仓库的恶意投毒攻击在3月份后有所下降,审查力度加强。
