聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
研究人员在 1.95.6和1.95.7版本中检测到了这些攻击,但这些版本目前已不可从 npm 注册表中下载。该包使用广泛,每周下载量超过40万次。Socket 公司在报告中提到,“这些受陷版本中包含被注入的恶意代码,它们的目的是从毫不知情的开发人员和用户手中窃取私钥,从而清空密币钱包。”
@solana/web3.js 是一个npm包,可与 Solana JavaScript 软件开发包 (SDK) 交互构建 Node.js 和 web 应用。Datadog 公司的安全研究员 Christophe Tafani-Dereper 提到,“在 v1.95.7 中插入的后门,增加了一个 ‘addToQueue’ 函数,通过看似合法的 SloudFlare 标头提取私钥”,“之后对该函数的调用被插入多个位置,从而合法地访问该私钥”。
用于提取存放密钥的C2服务器 (“sol-rpc[.]xyz”)目前已下线,它在2024年11月22日在域名注册商 NameSilo 上注册。
该npm包的维护人员似乎遭到钓鱼攻击,导致威胁行动者获得账户的控制权并发布恶意版本。该库的维护人员之一 Steven Luscher 在1.95.8发布中提到,“Solana dApps 常使用的 JavaScript 库@Solana/web3.js 的一个发布访问账户遭攻陷。这导致攻击者能够发布遭修改的越权和恶意包,从而窃取私钥材料并从 dApps 提取资金。该问题应当不影响非监管钱包,因为后者在交易过程中不会暴露私钥。”
Luscher 还提到,该事件仅影响直接处理私钥的项目以及在2024年12月2日下午3:20到8:25 UTC 窗口期内更新的项目。建议将 @solana/web3.js 作为依赖的用户,尽快更新至最新版本,如发现授权密钥遭攻陷应更换。
几天前,Socket 公司提醒称发现了一个Solana 主题的恶意包“Solana-systemprogram-utils”,它偷偷在2%的交易中将用户的资金转移至受攻击者控制的硬编码钱包地址内。研究人员提到,“该代码通过98%的时间都在正常运行的策略,隐藏了它的真实意图。这一设计将可疑性降至最低且仍然允许攻击者窃取资金。”
之前,npm 包如 crypto-keccak、crypto-jasonwebtoken 和 crypto-bignumber 伪造成合法库,但包含可嗅探凭据和密币钱包数据的代码。这一事件再次说明威胁行动者仍然在滥用开发人员对开源生态系统的信任。研究人员提到,“恶意软件窃取开发人员的凭据和钱包数据,可造成经济损失。对于组织机构而言,受陷的系统制造可在企业环境中传播的漏洞,导致出现大规模的利用情况。”
点击“阅读原文”,马上试用开源卫士:https://oss.qianxin.com
Python、npm和开源生态系统中的入口点可用于发动供应链攻击
NPM恶意包假冒 “noblox.js”,攻陷 Roblox 开发系统
英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击
Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响
Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~