2023年，針對軟件供應鏈的網絡攻擊將會繼續增加。相應地，人們將會看到安全團隊進行網絡防御的轉變。這是根據ReversingLabs最近發布的一份報告得出的結論，該報告評估了自SolarWinds網絡攻擊事件以來軟件供應鏈事件的影響。

2020年SolarWinds網絡攻擊的影響廣泛而深遠。突然之間，軟件供應鏈變成了網絡犯罪的溫床，可以進行有利可圖的網絡攻擊、網絡間諜活動，或者只是發表聲明。

為了應對這種尋找和利用軟件供應鏈弱點的新趨勢，安全團隊也提高了他們的安全防護水平，各國政府制定了《持久安全框架》下保護軟件供應鏈的具體指南，以及名為《2022年開源軟件安全法案》的新立法。

ReversingLabs在《2022～2023年軟件供應鏈安全狀況》報告中指出：“這些軟件供應鏈攻擊以普遍存在的實踐和行為為基礎。其中包括：嚴重依賴集中的、基于云的基礎設施;快速發展的DevOps實踐顯著地提高了軟件發布的節奏，部分原因是大量使用第三方商用現成模塊和開源模塊來加快開發;以及更加依賴集中的自動更新機制，以促進現代基于云的應用程序和服務的快速發布。”

ReversingLabs在過去12個月觀察到的主要軟件供應鏈安全趨勢

對植入惡意代碼的開源軟件的信任已被證明是企業安全的一個缺陷。例如，在過去四年中，對npm和PyPI存儲庫的攻擊激增了289%。

惡意軟件包已經成為開源存儲庫中的惡性存在，尤其是npm，在2022年1月至10月期間，npm被發現有多達7000個惡意包。這一數字比2020年高出100倍，比2021年高出40%。

npm和PyPI中的惡意包

npm存儲庫是網絡犯罪分子傳播惡意代碼和感染下游組織的選擇。ReversingLabs表示，這是因為npm存儲庫托管了310多萬個項目，PyPi上有40.7萬個項目，RubyGems上有17.3萬個項目。

具體而言，拼寫錯誤欺詐(即惡意行為者發布名稱與流行庫名稱相似的包的技術)已經增加。

Protestware軟件給軟件供應鏈帶來了另一個風險。Protestware軟件出現于2022年，其中合法應用程序的維護者決定將他們的軟件武器化，以服務于一些更大的事業(無論是個人還是政治)。

npm libraries colors.js和faker r.js(打印“LIBERTY”LIBERTY LIBERTY，后面有一系列亂碼非ASCII字符，而不是所需的輸出)和open-source library node.ipc是Protestware的一些例子。

與此同時，企業可能無意中將敏感信息留在存儲庫中。ReversingLabs安全分析師Charlie Jones指出：“直到最近，我們才看到惡意攻擊者將注意力轉向軟件供應鏈，因為他們開始意識到源代碼是一個無意中嵌入秘密的豐富來源，可以用于進一步的攻擊。”

一些企業對敏感信息的存在感到“尷尬”，例如源代碼、憑證、訪問令牌等，嵌入在由他們自己或第三方在開源平臺上維護的存儲庫中，包括美國退伍軍人事務部、豐田公司、CarbonTV等。

PyPi|托管項目泄漏憑據的數量

此外，企業被發現依賴于脆弱的軟件依賴項。然而，Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等開源漏洞的增加表明威脅行為者一直在試圖尋找新的利用途徑。

好消息是，企業對當前的問題持謹慎態度。RversingLabs進行的一項調查表明：

• 98%的受訪者表示，第三方軟件、開源軟件和軟件篡改對企業來說是風險。
• 66%的受訪者表示，可利用的軟件漏洞構成風險。
• 63%的受訪者表示，隱藏在開源存儲庫中的威脅和惡意軟件可能導致SolarWinds和Codecov這樣的網絡安全事件。
• 51%的受訪者表示，無法檢測軟件篡改是一種安全風險。
• 40%的受訪者還強調了持續集成(CI)/持續交付(CD)工具鏈中的漏洞是一個問題。

因此，安全團隊應采取以下措施應對供應鏈攻擊：

• 引入了識別惡意軟件包的新功能。
• 與掃描平臺的更多集成。
• IP范圍鎖定。
• 供應鏈安全自動化。
• 開源項目辦公室。
• 遵守《2022年開源軟件安全法案》規定的開源安全。

ReversingLabs總結道：“過去三年的數據表明，2023年軟件供應鏈受到的攻擊將在頻率和嚴重程度上增加，再加上旨在解決供應鏈風險的新法規和指南，將給開發商和企業帶來新的壓力。

展望未來，ReversingLabs的研究人員預計安全思維和投資都會發生變化，預計將加強對內部代碼和共享代碼的審查，以尋找機密證據，例如AWS和Azure等基于云的服務的訪問憑證;SSH、SSL和PGP密鑰，以及各種其他訪問令牌和API密鑰。”