聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Mandiant Consulting 公司调查发现，上个月发生的 3CX 软件供应链事件是由疑似朝鲜黑客组织攻陷股票交易自动化公司 Trading Technologies 并推送木马化的软件引发的。

该公司的首席技术官 Charles Carmakal 表示，“我们认为大量组织机构目前尚不清楚已遭攻陷。我们希望发布这则消息能够帮助企业加快判断自己是否受陷且处理安全事件。”

攻击者下载Trading Technologies 公司 X_TRADER 软件的恶意程序，并将其安装在 3CX 公司员工的个人电脑上，部署了多阶段模块化后门 VEILEDSIGNAL 以执行 shellcode，将通信模块注入 Chrome、Firefox 或 Edge 进程并自我终止。

Mandiant 公司指出，执行该攻击的组织是 UNC4736，它从员工设备上切去了企业凭据并借此在 3CX 网络中进行横向移动，最终攻陷了 Windows 和 macOS 构建环境。该公司提到，“在 Windows build 环境中，攻击者部署了 TAXHAUL 启动器和 COLDCAT 下载器，它们通过 DLL 劫持 IKEEXT 服务和以 LocalSystem 权限保持持久性。该 macOS 构建服务器通过 POOLRAT 后门攻陷，将 LaunchDaemons 作为持久机制。”该恶意软件通过合法的微软 Windows 二进制进行 DLL 侧加载实现可持久性，同时在启动时自动加载，使攻击者能够在互联网上远程访问所有的受陷设备。

和 AppleJeus 行动的关联

Mandiant 公司表示，UNC4736 和受经济利益驱动的朝鲜 Lazarus Group 组织有关，而该组织发动了 AppleJeus 活动。谷歌威胁分析团队 (TAG) 在2022年3月份的一份报告中将该攻击活动和攻陷 www.tradingtechnologies[.]com 网站关联在一起。

基于重叠的基础设施，Mandiant 公司还将 UNC4736 与APT43 （UNC3782和UNC4469）关联在一起，“从木马化的 X_TRADER app 来看，我们认为 UNC4736与朝鲜黑客存在关联。该木马 app 是通过 TAG 博客上提到的受陷的同样的网站分发的。再加上它们在TTPs 上的相似之处以及在其它基础设施上的重合之处，我们认为这些组织之间是有关联的。”

3CX 供应链攻击事件

3月29日，3CX 公司在新闻爆出一天后，证实称其基于 Electron 的桌面客户端 3CXDesktopAPP 被攻陷以分发恶意软件。

3CX 花费了一周多的时间回应关于多家网络安全公司如 CrowdStrike、ESET、Palo Alto Networks、SentinelOne 和 SonicWall 等将其软件判定为恶意性质的客户报告。

3CX 公司的首席执行官 Nick Galea 在披露报告之后也表示，该客户端使用的一个 ffmpeg 二进制可能是初始入侵向量。然而，FFmpeg 否认了这一说法，表示仅提供未被攻陷的源代码。

3CX 公司建议客户从所有 Windows 和 macOS 设备上卸载这一客户端，且立即替换为提供类似特性的 PWA Web Client App。为此，安全研究团队创建了基于 web的工具，协助3CX 的客户判断IP地址是否受该事件影响。

从3CX 公司官网上披露的情况来看，这款 3CX Phone System 的每日用户量超过1200万人，用户遍布全球60多万家企业，其中不乏高级别组织机构和企业如美国运通、可口可乐、麦当劳、宜家、法国航空、英国国民保健署以及多家汽车厂商。

Mandiant 公司指出，“这起软件供应链攻陷事件是我们认识到的首个导致另外一起软件供应链事件的事件。它说明了这类攻陷事件的潜在影响范围，尤其是当威胁行动者能够链接此次调查中所展示的入侵的情况。”

---

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

Windows漏洞十年未修复，3CX供应链攻击影响全球60多万家企业

黑客利用 3CX 木马版桌面 app 发动供应链攻击

奇安信入选全球《软件成分分析全景图》代表厂商

在线阅读版：《2021中国软件供应链安全分析报告》全文

第三方app受陷，Atlassian 数据被盗

奇安信总裁吴云坤：构建四大关键能力 体系化治理软件供应链安全

几乎所有企业都与受陷第三方之间存在关联

热门开源Dompdf PHP 库中存在严重漏洞

命令注入漏洞可导致思科设备遭接管，引发供应链攻击

命令注入漏洞可导致思科设备遭接管，引发供应链攻击

PyTorch 披露恶意依赖链攻陷事件

速修复！这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

PHP包管理器Composer组件 Packagist中存在漏洞，可导致软件供应链攻击

LofyGang 组织利用200个恶意NPM包投毒开源软件

软件和应用安全的六大金科玉律

美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录（全文）

OpenSSF发布4份开源软件安全指南，涉及使用、开发、漏洞报告和包管理等环节

美国政府发布联邦机构软件安全法规要求，进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划，提振软件供应链安全

黑客攻陷Okta发动供应链攻击，影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划，最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞，可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞，影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps，更安全的应用

他坦白：只是为了研究才劫持流行库的，你信吗？

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持，用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟：管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名，我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册：SBOM的生成和提供》解读

和GitHub 打官司？热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力，NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜：维护人员对俄罗斯用户发特定消息，谁来保证开源可信？

NPM逻辑缺陷可用于分发恶意包，触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员，发动供应链攻击

哪些NPM仓库更易遭供应链攻击？研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用，可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾：利用开源服务中的严重漏洞，攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ，CVSS评分10分

开源组件11年未更新，严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接：

https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security

题图：Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~