Telegram 和 AWS等电商平台用户遭供应链攻击

DEEBA AHMED 代码卫士 2024-03-26

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

网络安全公司 Checkmarx 发现了利用热门通信和电子商务平台漏洞而引发的供应链攻击。遭攻击的平台包括 Telegram、AWS等。攻击者将恶意代码注入开源项目中并攻陷系统。他们利用 Starjacking 和 Typosquatting 技术诱骗开发人员访问恶意包。该攻击发生在2023年9月整月。

Checkmarx 认为该供应链攻击是由被其命名为 “kohlersbtuh15” 的低调的黑客组织发动的。最近频发的恶意攻击促使开源安全基金会 (OpenSSF) 在上周推出新的计划：恶意包仓库。

报告指出，攻击者使用 PyPI，通过 Starjacking 和 Typosquatting 技术发动攻击。进一步调查发现，攻击者利用的是多个平台中的漏洞如 Telegram、AWS 等攻击开发人员和用户。攻击者将恶意代码注入这些电商平台使用的开源项目中，攻陷用户设备并窃取敏感数据、金融和个人信息以及登录凭据。恶意代码被注入特定的软件函数中，因此难以检测。

嵌入这些包中的代码并不会自动执行，而是战略性地被隐藏到不同函数中。当调用其中一个函数时，就会触发。据称，攻击者在 PyPI 包管理器中发布一系列恶意包，攻击开源社区。

攻击者使用typosquatting技术模拟合法包构造虚假包，不过该虚假包具有一个隐藏的恶意依赖，触发在后台运行的恶意脚本。由于一切都在幕后发生，因此不会引起受害者的注意。Starjacking是指将托管在包管理器上的程序包连接到不相关的包仓库中。通过这种技术，不知情的开发人员以为它是真正的包。为扩大该攻击的影响，攻击者组合在同样的软件包中组合利用这两种技术。例如，Telethon 2 包是热门包 Telethon 的typosquatted 版本，它也会通过Telethon 包的 GitHub 仓库执行 starjacking 攻击，这表明攻击者从复制了官方包的源代码并在 telethon/client/messages.py 文件中嵌入恶意行。该恶意代码只有通过 Send Message 命令才能会执行。

报告提到，“通过攻击用于AWS、Telegram 等平台中的热门包，攻击者展现出高度精确性。这并非随机行为，而是故意攻陷依赖这些广为使用的平台的特定用户，因此可能影响数百万人。”

这种攻击引发的损害远远大于设备遭攻陷的情况，因为这些平台关联所有类型数据，如通信数据和业务数据均可能遭访问或利用。该攻击表明，由于攻击者紧盯第三方服务/软件中漏洞访问系统并窃取数据，供应链攻击活动仍将持续。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

《软件供应商手册：SBOM的生成和提供》解读

美国商务部发布软件物料清单 (SBOM) 的最小元素（上）

美国商务部发布软件物料清单 (SBOM) 的最小元素（中）

美国商务部发布软件物料清单 (SBOM) 的最小元素（下）