今年9月,当全球最大规模的供应链攻击事件——针对广受欢迎的开源库Chalk和Debug的攻击见诸报端时,尽管攻击规模庞大,但质疑其实际影响的怀疑论者仍迅速发声。一份广为流传的报告《哎呀,没有受害者:最大规模的供应链攻击仅窃取了5美分》抛出了一个问题:经济损失究竟在哪里?
报告作者推测称,整个事件造成的最大财务影响将是全球工程与安全团队为清理受污染环境而投入的数千小时集体工作时间,以及因这一新案例研究而不可避免签订的数百万美元销售合同。
Socket Security的研究人员随后追踪了攻击者的加密货币钱包,发现其总收益约为600美元。正如Socket所指出的,尽管此次活动极具破坏性,但迄今为止其财务影响有限。
然而,此类攻击造成的损害无法仅用金钱衡量。真正的代价在于它们所引发的混乱与不确定性。即便是关于某个库被入侵的谣言,或未经证实的零日漏洞,也可能在全球工程、IT和安全团队中引发连锁反应——项目停滞、资源转移,迫使企业陷入成本高昂的应急响应循环。
当Debug维护者在社交媒体上披露其账户因钓鱼攻击而遭入侵时,各地的应急响应团队不得不立即采取行动。安全与IT人员放下日常工作,监控局势、评估暴露风险,并确定自身环境是否可能被恶意版本“污染”。这意味着要在内部和客户网络中扫描入侵指标、执行清理程序,并记录影响——而这一切都是在尚未确认自身是否直接受影响之前进行的。
对于研究人员和专注于供应链的安全公司而言,工作范围进一步扩大:寻找更多被入侵的组件、关联新的入侵指标,并在新情报到来时重复分析。这些事件很少只发生一次,它们会呈级联效应。例如,在Chalk和Debug被劫持的那一周,另一起针对DuckDB相关npm包的独立入侵事件迫使团队再次重复调查与修复工作。
曾经常见的攻击手段,如攻击者入侵中间软件升级功能或CI/CD工具,如今已不复存在。
这就是现代软件供应链攻击的面貌。
供应链攻击:瞄准访问权限而非系统入侵
自2020年震惊业界的SolarWinds入侵事件以来,威胁格局已发生巨变。早期的高调事件主要针对构建服务器或篡改软件更新。如今的攻击者则偏好更为隐蔽的切入点:维护开源项目的人类。
过去两年中,大多数大规模供应链入侵并非始于CI/CD管道中的零日漏洞,而是始于被盗的维护者凭证、钓鱼攻击或社交攻击手段,攻击往往导致加密货币盗窃、注册表滥用,甚至国家级间谍活动。
以下是威胁行为者策略在此环境中的演变方式。
社交攻击+AI
人为因素常被视为信息安全中最薄弱的环节,而钓鱼攻击也绝非新颖的攻击向量。然而,其已被证明的有效性使其一次又一次成为针对热门库维护者的首选向量。钓鱼攻击制造的紧迫感,甚至可能迫使大多数精通技术的用户未经充分验证便采取行动。
此外,威胁行为者发布的175多个恶意(而非被劫持的)软件包,正利用开源生态系统对软件包用户(而不仅是合法库的维护者)发起凭证钓鱼攻击。任何安装这些软件包并运行捆绑HTML页面的用户,都会看到一个专门设计以模仿用户电子邮件域(如live.com)的钓鱼界面。
更重要的是,AI的广泛可用性为这些操作注入了强大动力,使攻击者能够生成高度逼真的钓鱼诱饵,这些诱饵看起来真实且精良,摆脱了曾让钓鱼尝试失败的语法错误。
即使那些几乎没有直接社交攻击成分的攻击,如针对项目GitHub Actions工作流的自动化拉取请求注入,也因AI而影响加剧。最近的“s1ngularity”攻击(可能暗指AI时代的技术概念)通过机器速度的自动化拉取请求,成功攻击了2180个GitHub账户和7200个存储库。
静态签名引擎可能曾能捕获的恶意软件,如今更难被标记。某些变种能够持续生成独特提示或嵌入指令,这些指令能被大型语言模型识别并执行,但对分析人员和自动化防御系统而言却看似良性文本。
攻击载荷演变:“蠕虫”与隐写术
在近期供应链恶意软件中观察到的几个关键主题之一是威胁行为者对其攻击载荷的创新,无论是通过部署各种混淆与分发技术,还是重新利用日常技术以推进其目标。
最近发现的Shai-Hulud供应链攻击便是典型例证。攻击始于攻击者入侵了40多个合法软件包,包括一些来自Crowdstrike npm账户的软件包,并使用了一种能够自动复制并注入到同一受入侵维护者拥有的其他项目中的载荷。据CI/CD安全公司StepSecurity称,攻击发生后的一两天内,这种“蠕虫”便传播到了187个软件包,最终感染了超过500个软件包。
这种自动自我传播逻辑在所有开发者的项目中迅速提高了感染率,其速度远超以往威胁行为者通过人力努力所达到的水平。
攻击者还在探索隐写术技术,如让npm软件包简单地从其服务器下载二维码图像。对于人类分析人员和网络安保工具或代理而言,这可能看起来不过是普通的图像流量。但客户端逻辑将解析此二维码以提取恶意指令,本质上使其成为受感染机器与命令与控制服务器之间的隐蔽通道,同时规避网络检查。
国家级间谍活动
国家支持的企业已注意到这些策略的有效性。与朝鲜有关的Lazarus Group最近(2025年7月)便多次针对开源注册表发起攻击,在npm和PyPI软件包中嵌入后门和窃取程序,目标直指加密货币公司和国防承包商。
今年早些时候,该企业还分叉了开源项目以发布带有数据窃取恶意软件的修改版本。据SecurityScorecard研究及威胁情报高级副总裁Ryan Sherstobitoff称,这些包括Codementor、CoinProperty、Web3 E-Store、一个基于Python的密码管理器以及其他与加密货币相关的软件包。
这些活动表明,供应链攻击如今已成为间谍工具,使攻击者能够通过合法开发者工作流间接渗透目标。
瞄准非开源市场
尽管在供应链攻击新闻报道中频繁提及“npm”、“PyPI”或“RubyGems”等目标已成为过去几年的常见主题,但这些攻击并不仅限于开源注册表。
研究人员已多次标记发布到微软Visual Studio(VS)代码市场的恶意扩展。以太坊开发者Zak Cole甚至在安装了一个针对Cursor代码编辑器的恶意扩展后,钱包被清空。
Koi Security和Wiz最近强调了VS代码扩展生态系统中日益增长的风险,包括Open VSX——这是微软市场的开源、供应商中立替代方案。例如,“TigerJack”活动便展示了攻击者如何同时在多个市场分发受污染插件。
尽管Open VSX扩展作为可下载存档在技术上可被检查,但这些并不总是真正的开源,许多缺乏明确许可或公共版本控制存储库。这种不透明性使审计变得复杂,并允许威胁行为者在看似可信的开发工具中隐藏恶意功能。
恶意扩展若设计用于修改源代码、资产或构建管道,则可悄然将开发环境木马化,从IDE内部发起供应链入侵。
注册表滥用作为存储介质
在供应链领域,一个常被忽视且更多属于滋扰而非攻击的方面是注册表滥用。尽管开源软件注册表旨在供组件开发者发布与消费,但创意用户往往能找到绕过其传统用途的方法,利用这些注册表来托管他们的媒体内容等。
2022年,一个自称“ApacheCN”(与Apache软件基金会无关)的中国开发者群体便利用GitHub和npm等平台存储了数千本电子书,如《经济学人》各版本,表面上是为了规避审查。2024年,我分析了748个npm软件包,它们没有任何合法的软件用途,仅被用于存储和分发被分割成多个部分的电影。
最近,加密货币爱好者多次被发现用数万至数十万个近乎空白的软件包,或现有开源库的分叉版本充斥软件包注册表,试图在“Tea”这一旨在用加密“代币”奖励开发者的小众协议和平台上提升排名。
网络安全领导者保护企业的措施
现代供应链攻击务实且多面。如今许多最频繁发生的事件始于人类和注册表的弱点,如受入侵的维护者账户、恶意拉取请求和市场扩展。这些向量成本低廉、可扩展且有效。但这并非全部故事:当符合攻击者目标时,他们仍会投资大规模源代码篡改。像Shai-Hulud这样在数百个软件包中修改或传播恶意代码的蠕虫式活动表明,攻击者能够并将结合自动化传播、混淆和人类欺骗以最大化影响。
如今,平衡的防御意味着既要保护人员,也要保护他们所依赖的生态系统。这包括为维护者强制实施多因素认证、为员工开展钓鱼模拟演练、使用经过审查的注册表、加固CI/CD管道,以及监控大规模代码变更或自我传播逻辑。
最终,目标并非计算攻击者赚了多少钱,而是阻止孤立事件演变为长期持久访问或广泛的下游污染。
