供应链攻击是一种面向软件开发人员和供应商的新兴威胁,目标是通过感染合法应用来分发恶意软件,从而访问源代码、构建过程或更新机制²。供应链攻击的危害非常大,不仅会影响供应商的信誉和业务,还会对供应链上的众多消费者造成不利影响,甚至导致数据泄露、系统瘫痪、资金损失等严重后果。因此,对供应链攻击的防御和处置是非常重要的。
本文将介绍供应链攻击的常见类型、检测方法、应急响应和防御策略,希望能够对软件开发者和供应商有所帮助。
供应链攻击的常见类型
供应链攻击的类型有很多,根据攻击者的目标和手段,可以分为以下六种²:
- 源代码篡改:攻击者通过入侵供应商的代码仓库或开发环境,修改源代码中的某些部分,插入恶意代码或后门,使得生成的应用具有恶意功能。例如,2017年,CCleaner的源代码被篡改,导致220万用户下载了含有恶意代码的版本。
- 依赖包投毒:攻击者通过发布含有恶意代码的依赖包,或者利用依赖包的名称相似性,诱导开发者下载并使用恶意的依赖包,从而影响开发者的应用。例如,2020年,PyPI社区出现了一个名为Jeilyfish的包,它与Jellyfish只有一个字母不同,但是含有恶意代码,可以窃取用户的敏感信息。
- 更新机制劫持:攻击者通过劫持供应商的更新服务器或更新通道,向用户推送含有恶意代码的更新,或者阻止用户接收正常的更新。例如,2017年,NotPetya勒索软件就是通过劫持乌克兰会计软件M.E.Doc的更新机制,向用户推送了恶意的更新,造成了全球范围内的破坏。
- 开发工具污染:攻击者通过污染开发者使用的开发工具,如编译器、调试器、IDE等,使得开发者生成的应用含有恶意代码或后门。例如,2015年,XcodeGhost就是通过污染Xcode的安装包,使得开发者生成的iOS应用含有恶意代码,影响了数百万用户。
- 硬件植入:攻击者通过在供应商的硬件设备中植入恶意的芯片或固件,从而影响供应商的软件或服务。例如,2018年,有报道称中国的一家公司在为苹果和亚马逊等公司生产的服务器主板中植入了微型芯片,可以远程控制服务器,窃取数据。
- 人员渗透:攻击者通过收买、威胁或诱骗供应商的员工,让他们在供应链中执行恶意的操作,如修改源代码、泄露密钥、关闭防火墙等。
参考链接
(1) 供应链攻击_百度百科.
https://baike.baidu.com/item/%E4%BE%9B%E5%BA%94%E9%93%BE%E6%94%BB%E5%87%BB/55662290 访问时间 2023/2/16.
(2) 供应链攻击的检测与防御_Shanfenglan7的博客-CSDN博客_供应链攻击检测. https://bing.com/search?q=%e4%be%9b%e5%ba%94%e9%93%be%e6%94%bb%e5%87%bb 访问时间 2023/2/16.
(3) 解读六种常见的软件供应链攻击类型 - 知乎 - 知乎专栏. https://zhuanlan.zhihu.com/p/382478630 访问时间 2023/2/16.
(4) 什么是供应链攻击?解决方案和示例 | Keeper. https://www.keepersecurity.com/zh_CN/threats/supply-chain-attack.html 访问时间 2023/2/16.