观星者哥布林的警示:瞄准病急乱投医的软件供应链水坑攻击

admin
admin
admin
135666
文章
111
评论
2024年7月29日21:03:02评论13 views字数 2055阅读6分51秒阅读模式

软件供应链攻击的新手法层出不穷,皆因一旦攻击得手,成本和收益几乎不具备可比性。例如被笔者反复老调重弹的太阳风网络攻击事件,美国政府方面的实际损失情况依然是讳莫如深,估计是非常严重。

上周末,Check Point Research 发现在 GitHub 上有网络化的大量账号在分发恶意软件和恶意链接。与过往情况相比,这次的手法更复杂和更具人性化。Check Point Research 将这组恶意攻击者统称为“Stargazer Goblin,把这些账号形成的网络命名为 Stargazers Ghost Network[1]。

笔者在分析该事件的过程中,构想了一种软件供应链攻击的可能性,而且颇为契合当前国产化改造潮,需要警惕。

观星者哥布林的警示:瞄准病急乱投医的软件供应链水坑攻击

笔者:

国际认证信息系统审计师(CISA)

软考系统分析师

软件工程硕士
“Stargazer Goblin”,中文就叫 “观星者哥布林” 吧

首先还是说说“观星者哥布林”。据报道,这次发现的恶意攻击者使用了至少三千个账号,行动过程有组织、有层次和有针对性。

与过往情况相比最大的区别是,这些账号还进行了一些 git 操作,比如项目加星标(所以叫观星者),创建分支,订阅其它安全研究员设置的恶意软件样本收集仓库等,从而使自己显得是真实和正当的用户。

这个组织的具体行为分为三个阶段:

1、首先是网络钓鱼,但不使用电子邮件而是在诸如 Discord,Twitter,Tiktok 这样的社交网络上发布链接。

由于攻击者面向的是专业人员(软件开发者),而专业人员对于电子邮件钓鱼接近免疫,所以攻击者主要通过社交网络开展欺骗,然后再辅以其他相关手段比如即时通信工具和电子邮件。

2、受害者点击链接后被导向到 GITHUB 上的恶意用户页面。由于这些恶意用户形成了用户网络,不仅会创建项目分支,还会相互加星关注或相互验证,使其显得像是真人执行的良性行为,所以极具迷惑性。

3、受害者如果产生了信任,就可能会察看这些恶意用户所创建的项目,而通常就是先打开项目的 README.MD 文件看看介绍(GITHUB 默认也会在项目页面显示该文件内容),而部分恶意用户创建的项目的 README.MD 文件包含有指向恶意软件的链接。

4、重点是,该恶意软件的链接并不是简单的一次跳转链接,而是用三个 GITHUB 账号构成的,分别提供了钓鱼仓库模版、钓鱼模版影像和在项目 RELEASE 发布的恶意软件,三者构成的分级和分布式关系使其网络的整体生存能力被强化,不容易被整体关闭。

而且,研究员认为,这些看起来正常的软件项目和项目操作,很有可能是通过AI产生的,甚至一些对真实用户的反馈都是AI生成的。

可见网络安全中,攻击者在应用新概念、新理论和新手段方面依然是走在前面。

“观星者哥布林”的行动实际是相当成功的,据报道,仅仅在2024年1月份的4天时长内,研究机构就已经确认其通过分发 Atlantida Stealer ,一种专门偷用户凭据和加密货币自托管钱包以及其他一些个人身份信息的恶意软件,并得手超过1300次。

关于“观星者哥布林”的更多情况,笔者不赘述,读者有兴趣可以自行进一步搜索获取。

这很可能是软件供应链水坑攻击的新趋势

软件供应链攻击+水坑攻击,不算是很新鲜的事情了。

比如之前被命名为“IconBurst”的对 NPM 实施的软件供应链攻击,就是比较典型的一例[2],而事后大家都对热门的代码组件提高了警觉性。

关键是,如果下一个哥布林所执行的不是直接分发恶意软件,而是分发被精心篡改、分叉、迭代后的软件组件代码?

尤其是,如果下一个哥布林故意:

选择一些老旧、原作者停止维护的软件组件进行分叉;

通过 AI 对源代码似是而非的 BUG 修正或真实的现代化调整;

通过机器人账户相互推拉代码,形成项目活跃效果;

最后,通过社交网络吸引需对现有正在运行的老旧信息系统进行重构但又因软件组件已经停止护而束手无策的开发人员

以上种种设想,在这次“观星者哥布林的实践下,都已经不难实现了。

所以,软件供应链安全管理是越来越重要,难度和复杂度也是越来越高。

参考链接:

[1] Stargazers Ghost Network
https://research.checkpoint.com/2024/stargazers-ghost-network/

[2] IconBurst npm software supply chain attack grabs data from apps and websites
https://www.reversinglabs.com/blog/iconburst-npm-software-supply-chain-attack-grabs-data-from-apps-websites

还可以看看这些内容:

国产化替代:观察漏洞修补的及时性以供应链关系选择操作系统

软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思

攻防演练与蓝屏:此时不推进软件供应链安全管理,更待何时

原文始发于微信公众号(wavecn):“观星者哥布林”的警示:瞄准病急乱投医的软件供应链水坑攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月29日21:03:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   观星者哥布林的警示:瞄准病急乱投医的软件供应链水坑攻击https://cn-sec.com/archives/3011636.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息