威脅者正在利用一家未披露的媒體公司的受損基礎設施，在全美數百家報紙的網站上部署SocGholish JavaScript惡意軟件框架（也稱為FakeUpdates）。

"涉案的媒體公司是一家為主要新聞機構提供視頻內容和廣告的公司。Proofpoint專家表示："該公司為全美不同市場的許多公司服務“。

這個供應鏈攻擊背后的威脅者（被Proofpoint追蹤為TA569）已經將惡意代碼注入了一個良性的JavaScript文件，該文件被新聞機構的網站加載。

這個惡意的JavaScript文件被用來安裝SocGholish，它將通過虛假的更新提醒，把惡意軟件的有效載荷偽裝成假的瀏覽器更新文件（如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip、Oper.Updte.zip）感染那些訪問被攻擊網站的用戶。

"Proofpoint威脅研究公司在一家為許多主要新聞機構提供服務的媒體公司上觀察到間歇性的注入。該媒體公司通過Javascript向其合作伙伴提供內容，通過修改原本良性的JS的代碼庫，來部署SocGholish。

據企業安全公司Proofpoint的安全研究人員稱，該惡意軟件總共被安裝在250多家美國新聞機構的網站上，其中還有一些是主要新聞機構。

雖然受影響的新聞機構總數目前尚不清楚，但根據Proofpoint表示：來自紐約、波士頓、芝加哥、邁阿密、華盛頓特區等地的多家媒體機構（包括國家新聞機構）遭受影響。

我們以TA569追蹤這個行為者。發現TA569在輪流刪除和恢復了這些惡意的JS注入。因此，有效載荷和惡意內容的存在可能從一個小時到另一個小時有所不同，不應視為解除風險。

"這種情況需要密切關注，因為Proofpoint已經觀察到TA569在修復后幾天又重新感染了相同的資產。"Proofpoint之前觀察到SocGholish活動使用虛假更新和網站重定向來感染用戶，包括在某些情況下，贖金軟件的有效載荷。

網絡犯罪團伙還在一次非常類似的活動中使用SocGholish，通過幾十個被攻擊的美國報紙網站傳遞虛假的軟件更新提醒，感染了30多家美國大型私營企業的員工。

被感染的電腦后來被用作進入雇主的企業網絡的跳板，試圖部署該團伙的WastedLocker勒索軟件。

幸運的是，賽門泰克在一份報告中透露，在針對多家私營公司的攻擊中，他們阻止了威脅著加密被入侵網絡的企圖，其中包括30家美國企業，其中8家是財富500強企業。

SocGholish最近也被用來對感染了樹莓羅賓惡意軟件的網絡進行后門攻擊，微軟將其描述為網絡犯罪團伙的前贖金行為。

參考文章：https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/