揭秘新发现的供应链攻击

武新沂

随着网络安全防护技术的提高，攻击者要想再利用以前的攻击技术来获得成功，越来越难了。所以黑客也正在琢磨着提高攻击成功率的方法，例如利用用户对软件供应商的信任等。

大多数用户认为，只要软件供应商值得信赖，那他们的产品也一定没有安全问题。而攻击者正是利用了这个心理，发起了所谓的“供应链攻击”，因此在安装软件或更新时，用户时刻都要仔细检查源代码站点，以确保它是合法的，只有这样才能让代码放心地在我们的计算机上运行。随着开发人员对软件和网页的防护能力越来强，在过去几年中，黑客越来越多地是利用这种供应链信任来传播恶意软件。

近期，在不到一周的时间里，研究人员发现了两起新的利用供应链进行攻击的事件。

第一个涉及到VestaCP，这是一个系统管理员用来管理服务器的控制面板界面。Censys执行的互联网扫描显示，目前有超过132 000个未过期的TLS证书可以保护VestaCP用户。根据安全公司Eset最近发布的一篇帖子，有未知的攻击者破坏了VestaCP服务器并利用他们的访问权限，对可下载的安装程序进行了恶意更改。

供应链攻击过程

Eset恶意软件研究员Marc-étienneM.Léveillé表示：VestaCP安装脚本被攻击者修改后，可以在安装成功后向vestacp.com报告生成的管理员凭证。我们并不确切知道这种情况是何时发生的，但修改后的安装脚本在2018年5月31日～ 6月13日期间，已经出现在了GitHub上的源代码管理中。

目前，对这个攻击还在进一步研究中，在调查完成之前，仍然不清楚攻击是如何发生的。根据Léveillé的初步调查结果，黑客最有可能是通过利用VestaCP软件或用于传播它的服务器中的关键漏洞开始的，这使得攻击者可以自行控制攻击过程。也就是在此期间，攻击者将密码嗅探函数添加到安装源代码中，此时VestaCP软件已经包含了从用户服务器向vestacp.com网站发送统计信息的代码。

Léveillé认为恶意代码只是添加了一些难以解密的代码行，这些代码行导致密码被包含在其中，然后攻击者利用对VestaCP网络的控制来检索被盗密码。研究人员说，虽然这种方法更复杂，但安全检测方案更难在源代码中检测到恶意代码。对此，Leveille说：“攻击者可能会使用密码通过其安全shell界面登录服务器。”

使用SSH，攻击者就可以用ChachaDDoS感染服务器，ChachaDDoS是一种相对较新的恶意软件，用于对其他网站进行拒绝服务攻击。该恶意软件提供了各种高级功能，包括防止管理员在服务器上查找和分析它的方法。Chacha运行在32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC上。近日安全公司Sophos的研究人员公布了一个新发现的DDoS僵尸网络，他们称之为Chalubo，几乎可以肯定它运行的是Eset描述的Chacha恶意软件。

当时对VestaCP供应链的攻击最少已经有14天了，因为源代码中记录时间是14天。类似的帖子显示，VestaCP用户早在2018年4月初就报告了服务器遭到黑客攻击，这比Eset列出的5月31日早了近两个月。类似这样的讨论表明，在之前恶意修改的代码从源代码中删除之后，影响VestaCP用户的攻击仍在继续。

利用ClipboardHijacking软件潜入PyPI

第二个供应链攻击涉及一个恶意软件包，该软件包已被插入到了广泛使用Python编程语言的官方存储库中。被称为“Colourama”的软件包看起来与Colorama类似，Colorama是Python存储库中下载量最多的20个合法模块之一。Doppelg NgerColourama软件包包含合法模块的大多数合法函数，但与Colorama有一个显着区别：Colourama添加的代碼在Windows服务器上运行时安装了这个Visual Basic脚本。它会不断监控服务器的剪贴板，以获取用户支付加密货币的线索。恶意脚本触发后，该脚本会将支付信息从剪贴板中包含的钱包地址转移到攻击者拥有的钱包。

在过去的六个月里，隐藏在PyPI的ClipboardHijacking软件已被下载了171次（不包括镜像站点），被感染的服务器不仅必须删除恶意的Colourama模块，还必须进行注册表更改以清除Visual Basic脚本。

根据目前所掌握的证据，两个新发现的供应链攻击都没有发生大规模的感染。但这并不代表供应链攻击的威力不大，在2017年爆发的NotPetya攻击，已被专家形容为一种网络战争。

业内专家预测，供应链攻击在将来会更加普遍，如果可能的话，用户应该考虑扫描所有下载的安装程序和更新，并密切关注其名称的变化，以确保它们与自己要安装的合法模块相匹。