据Cyble威胁情报研究人员称，软件供应链攻击正变得越来越普遍，这是一个坏消息，因为这种攻击的严重性和影响范围。

Cyble在2月至8月中旬的6个月内检测到网络犯罪分子在暗网上提出的90起供应链违规索赔，几乎每隔一天就有一起。由于供应链攻击的成本可能比其他违规行为高出几个数量级，因此即使是几次此类攻击造成的成本和损害也很高。

Cyble博客指出，虽然IT供应商代码库的渗透导致的攻击（如2020年的SolarWinds和2021年的Kaseya）相对罕见，但构成软件供应链的代码，依赖关系和应用程序是“几乎恒定的漏洞和网络攻击的来源，使所有组织都处于危险之中。

研究人员写道，即使供应链漏洞没有到达代码库，它们仍然可能导致敏感数据泄露，“这可能使攻击者在破坏其他环境方面具有关键优势，包括网络钓鱼，欺骗和凭据攻击。“由于实体供应链的互联性和日益增加的数字化性质，任何具有下游分销的制造商或供应商都可以被视为网络风险。

Cyble研究人员研究了2024年供应链攻击的频率和性质，沿着可以最大限度地降低风险的防御措施。

供应链攻击变得普遍

Cyble的暗网监测发现，在2024年2月至2024年8月中旬期间，有90起网络犯罪声称成功进行了供应链攻击。

到目前为止，IT提供商是最大的目标，占这些违规行为的三分之一，其次是技术产品公司，在90起违规事件中有14起。航空航天和国防（9次违规），制造业（9次违规）和医疗保健（8次违规）是接下来最常见的受害者。

尽管高度集中在少数行业，但Cyble跟踪的25个行业中有22个在2024年经历了供应链攻击（下图）。

到目前为止，美国在暗网上遭受的供应链违规事件最多，共31起，其次是英国（10起）、德国和澳大利亚（各5起）、日本和印度（各4起）。

2024年的供应链攻击

Cyble博客特别关注了8次攻击，这些攻击的严重程度各不相同，从影响10万多个网站的代码库劫持到关闭基本服务的攻击。以下是其中一些攻击：

jQuery：7月对JavaScript npm包管理器的供应链攻击涉及流行的JavaScript库jQuery的特洛伊木马版本。攻击者修改了合法的jQuery代码，从网站中泄露敏感的表单数据，攻击了多个平台和包名称。这次攻击“强调了开发人员和网站所有者迫切需要验证软件包的真实性，并仔细检查代码是否存在可疑修改，以减轻供应链攻击。

Polyfill：6月下旬的攻击袭击了超过10万个网站，使用假域名冒充Polyfill.js库注入恶意软件，将用户重定向到体育博彩或色情网站。“这次攻击凸显了使用外部代码库的风险以及在网站安全方面保持警惕的重要性，”Cyble研究人员说。“这一事件凸显了第三方脚本的安全影响，以及恶意接管广泛部署的项目的可能性。”

编程语言漏洞：威胁行为者（TA）IntelBroker在BreachForums上发帖，声称未经授权访问节点包管理器（npm）和GitHub帐户，“涉及未公开的编程语言”，沿着访问“具有推送和克隆提交权限的私有存储库”。以下是索赔的截图：

CDK Global Inc.：6月19日，汽车经销商软件提供商CDK Global Inc.受到勒索软件攻击的打击，导致许多北美汽车经销商的销售和库存运营中断数周，其中包括Group1 Automotive Inc.等大型经销商网络，AutoNation Inc.，Premier Truck Group和Sonic Automotive。

访问400多家公司：IntelBroker于6月15日再次出击，通过“未披露的第三方承包商”提供了400多家公司的访问权限。据报道，这些数据包括对Jira、Bamboo、Bitbucket、GitHub、GitLab、SSH、SFTP、DA、Zabbix、AWS S3、AWS EC2、SVN和Terraform的访问。基于公司收入和位置的开源研究表明，参与其中的一些最大的组织可能是洛克希德马丁公司，三星电子有限公司，通用动力公司和苹果公司。

零信任和弹性有助于控制供应链风险

Cyble的研究人员建议了一些针对供应链攻击的防御措施，这些措施围绕零信任和网络弹性原则以及代码安全性建立。这些做法包括

• 网络细分

• 强大的访问控制

• 强大的用户和设备身份和身份验证来源

• 静态和传输中数据的加密

• “不可变、气隙且尽可能隔离”的防勒索软件备份

• 用于早期漏洞检测的蜜罐

• 安全配置API和云服务连接

• 使用SIEM、Active Directory监控和数据丢失防护（DLP）工具监控异常活动

• 通过审计、漏洞扫描和渗透测试评估和确认控制措施

安全开发和第三方风险管理

Cyble还推荐了代码安全最佳实践--既针对开发人员，也针对合作伙伴和供应商审计--以及像Cyble这样可以帮助评估合作伙伴和供应商风险的威胁情报服务。

“Cyble的第三方风险情报模块评估合作伙伴在网络卫生、暗网暴露、欺骗活动以及攻击面和网络暴露等领域的安全性，并指出需要改进的具体领域，而Cyble的人工智能漏洞扫描功能可以帮助您找到并优先考虑您自己的面向Web的漏洞，”Cyble博客称。

“随着越来越多的组织将安全性作为购买标准，供应商将被迫以更好的安全控制和文档做出回应，”报告总结道。