聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Group-IB 公司发布报告称，受客户委托对本月初的一起钓鱼攻击活动展开调查，结果发现受害者不止Twilio和Cloudflare公司，还有130多家组织机构。黑客首先攻陷身份认证管理提供商 Okta，随后攻击其130多名客户。研究人员将该供应链攻击事件命名为 “0ktapus”。如下是奇安信代码卫士团队对报告的编译梳理。

01

精心策划的供应链攻击

Signal 公司报道称其1900名用户账户很可能被黑，收到客户委托调查后发现，客户仅仅是多家遭大规模钓鱼攻击的著名组织机构之一。攻击者的初始目标很清晰：从目标组织机构用户处获得身份验证管理提供商 Okta公司的身份凭据和双因素验证码。之后攻击者即可越权访问受害者可访问的任何企业资源。

这起攻击的特别之处在于，尽管攻击者使用的是无需太高技能的攻击方法，但仍然攻陷了大量著名组织机构。另外，一旦攻击者攻陷得手，则可快速跳转并发动后续的供应链攻击，这说明攻击是提前仔细策划的。

02

攻击流程

从客户以及Twilio 和 Cloudflare 公司发布的公开报告可知，这起攻击是精心策划并执行的。攻击者瞄准了Okta的企业用户员工。这些员工收到仿冒Okta认证页面的钓鱼网站链接的手机短信。

对于员工而言，钓鱼网站非常具有说服力，和平时见到的认证页面非常相似。用户被要求提供用户名和密码，接着第二个网页要求输入双因素验证码。输入验证码后，浏览器被迫下载远程管理工具AnyDesk的合法副本。为何会发短信，且将 AnyDesk.exe推向受害者资产？这说明攻击者可能经验并不丰富。而且钓鱼网站是静态的，说明攻击者无法实时和受害者进行交互。要在双因素验证码过期前获得访问权限，必须在获得验证码后使用受陷数据。这意味着攻击者在持续监控工具并使用这些凭据。攻击者随后通过钓鱼包将受害者凭据传到受控制的 Tegegram频道，最后发动供应链攻击。随后研究人员分析出攻击者的网络身份。

研究人员指出，目前不能确定攻击者是否从头到尾都进行了精心策划，还是伴有一些随机行动，但无疑这起攻击活动是成功的。

03

受害者情况

研究人员指出，多数目标企业位于美国，其中包括总部在其它国家但位于美国的员工遭攻击的情况。

由于三分之二的受陷数据中并不包含企业邮件而只包含用户名和2FA验证码，因此无法识别所有目标企业，仅能识别受害者的居住地。多数受害者企业提供IT、软件开发和云服务，攻击者试图获取凭据以访问私密数据、企业邮件和内部文档。因金融企业也包含在受害者清单中，因此攻击者也在试图窃取钱财；一些目标企业提供对加密资产和市场的访问权限，一些是开发投资工具。攻击者或者也试图在后期实施勒索攻击。

目前尚不清楚攻击者如何准备目标清单以及如何获取到电话号码，但研究人员认为攻击始于对移动运营商和电信企业的攻击，某些手机号码可能源自这些初始攻击。

04

供应链攻击

研究人员指出，在很多情况下攻击者针对的是邮件列表或面向客户的系统，以便发动供应链攻击。如市场营销公司Klaviyo 与密币相关账户关联的个人信息遭泄露包括姓名、地址、邮件和电话号码等，这些信息后续可用于窃取密币。邮件平台 Mailchimp遭攻陷，攻击者获得对加密相关企业数据的访问权限，其客户 DigitalOcean技术公司的客户可能遭攻陷。电话验证提供商Twilio遭攻击，攻击者试图在新的移动设备上重新注册Signal账户。

虽然攻击者的成功可能有赖于运气，但他们更可能仔细构造攻击，目的是发动如上述复杂的供应链攻击。目前尚不清楚这起攻击的潜在影响。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

在线阅读版：《2021中国软件供应链安全分析报告》全文

开源web应用中存在三个XSS漏洞，可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

美国国土安全部：Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞，影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps，更安全的应用

他坦白：只是为了研究才劫持流行库的，你信吗？

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持，用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟：管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名，我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册：SBOM的生成和提供》解读

和GitHub 打官司？热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力，NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜：维护人员对俄罗斯用户发特定消息，谁来保证开源可信？

NPM逻辑缺陷可用于分发恶意包，触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员，发动供应链攻击

哪些NPM仓库更易遭供应链攻击？研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用，可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾：利用开源服务中的严重漏洞，攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ，CVSS评分10分

开源组件11年未更新，严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接

https://blog.group-ib.com/0ktapus

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~