聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Socket 公司的研究人员提到,60个恶意包伪装成看似无害的、用于社交媒体、博客或消息服务的自动化工具正在攻击RubyGems 生态系统,它们从不知情的用户处窃取凭据并可能在暗网论坛上出售。
研究人员提到,攻击至少活跃于2023年3月,这些恶意包的下载量已超过27.5万次。不过,由于并非每次下载都会导致执行以及可能会被下载到单个机器中,因此这个数字可能无法代表受陷系统的真实数字。
安全研究员 Kirill Boychenko 表示,“至少从2023年3月起,威胁人员就通过zon、nowon、kwonsoonje和Soonje等昵称发布60个恶意包,它们伪装成用于Instagram、Twitter/X、TikTok、WordPress、Telegram、Kakao和Naver平台的自动化工具。”
虽然这些恶意gem 提供了预期功能如批量发帖等,但它们也利用隐藏功能,通过显示一个简单的图形用户界面输入用户凭据,将用户名和密码提取到受威胁人员控制的外部服务器。其中一些gem 如 njongto_duo 和 jongmogtolon 专注于金融讨论平台,这些库作为工具,充斥着与投资相关的与股票代码、传播股票和制造虚假信息的论坛,以放大可见性和操纵公众认知。
用于接收所捕获信息的服务器包括 programzon[.]com、appspace[.]kr和marketingduo[.]co[.]kr。这些域名被指广告批量消息、电话号码收集和自动化自动化社交媒体工具。该攻击的受害者可能是灰帽营销人员,后者依赖于这类工具运行垃圾邮件、SEO并参与被人为推广的活动。Socket 公司提到,“每个gem 都作为针对Windows 的信息窃取器,主要但并非只针对韩国用户,因为用户界面是韩语的且被提取到 .kr 域名。该攻击横跨多个化名和基础设施,表明它是一项成熟且持续的活动。”研究人员提到,“通过将凭据盗取功能嵌入到向关注自动化的灰帽子用户营销的gem,威胁人员悄悄捕获敏感数据并融入看似合法的活动中。”
此前不久,GitLab 检测到PyPI 上多个typosquatting 包,通过劫持合法的质押功能,从Bittensor 中窃取密币。这些Python 库假冒bittensor 和bittensor-cli的名称,如下:
Bitensor(版本9.9.4 和 9.9.5)
bittenso-cli(版本9.9.4)
qbittensor(版本9.9.4)
bittenso(版本9.9.5)
GitLab 的研究人员提到,“攻击者似乎专门针对质押操作。通过在看似合法的质押功能中隐藏恶意代码,攻击者同时利用了日常区块链操作的技术要求和用户心理。”此前不久,PyPI 维护人员还施加了新限制条件,保护Python 包安装程序和检测工具免受来自ZIP解析器实现的混淆攻击。换句话说,PyPI 表示将拒绝Python 包 “wheels”(实际就是ZIP压缩包),这些包试图利用ZIP混淆攻击,将恶意payload 走私通过手动审查和自动检测工具。
Python 软件基金会的员工 Seth Michael Larson 表示,“此举是针对一项发现而采取的,该发现表明广受欢迎的uv安装程序与许多使用zipfile标准库模块提供的ZIP解析实现的Python安装程序相比,具有不同的解压行为。”
PyPI致谢谷歌开源安全团队研究员Caleb Brown和网飞公司的研究员Tim Hatch 报送该漏洞。PyPI还表示,当用户发布的wheel中,ZIP内容与包含的RECORD元数据文件不匹配时,将向用户发出警告。而在警告时间达到6个月时,从2026年2月1日开始拒绝新上传的此类wheel。
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~