近日，網(wǎng)絡(luò)安全公司Checkmarx首次披露了一種專(zhuān)門(mén)攻擊黑客和網(wǎng)絡(luò)安全研究人員的供應(yīng)鏈攻擊。據(jù)報(bào)道，這場(chǎng)長(zhǎng)達(dá)一年的攻擊活動(dòng)通過(guò)開(kāi)源軟件的“木馬化”版本來(lái)竊取黑帽黑客的敏感信息，同時(shí)還針對(duì)善意的安全研究人員，令業(yè)內(nèi)震驚。

該攻擊活動(dòng)由Datadog安全實(shí)驗(yàn)室進(jìn)一步證實(shí)。攻擊者主要通過(guò)以下兩種方式感染目標(biāo)設(shè)備：

• 木馬化開(kāi)源軟件：攻擊者在GitHub和NPM平臺(tái)上分發(fā)被植入后門(mén)的開(kāi)源軟件包。這些包偽裝成合法工具，實(shí)際上卻會(huì)竊取設(shè)備中的敏感信息。
• 精準(zhǔn)釣魚(yú)郵件：攻擊者針對(duì)發(fā)布安全學(xué)術(shù)論文的研究人員，尤其是使用arXiv平臺(tái)的用戶(hù)，發(fā)送精心設(shè)計(jì)的釣魚(yú)郵件。

這些惡意軟件不僅精密且隱蔽，甚至能夠長(zhǎng)期潛伏，伺機(jī)竊取信息。

攻擊手法：多重感染路徑與專(zhuān)業(yè)后門(mén)

攻擊活動(dòng)由一個(gè)被命名為“MUT-1244”的威脅組織實(shí)施，“MUT”代表“神秘未知威脅”（Mysterious Unattributed Threat）。以下是其具體攻擊方式：

一、木馬化的軟件包

攻擊的核心工具之一是@0xengine/xmlrpc，這是一個(gè)在NPM平臺(tái)上流傳已久的JavaScript庫(kù)。起初，它以提供Node.js環(huán)境下的XML-RPC協(xié)議實(shí)現(xiàn)為幌子，逐步更新為惡意版本。僅在上線(xiàn)的頭12個(gè)月內(nèi)，該包進(jìn)行了16次更新，制造出“可信賴(lài)”的假象。

另一個(gè)關(guān)鍵組件是GitHub上的yawpp工具，這款工具偽裝為WordPress憑證驗(yàn)證和內(nèi)容發(fā)布工具。雖然yawpp本身并無(wú)惡意代碼，但由于依賴(lài)@0xengine/xmlrpc，其用戶(hù)在安裝yawpp時(shí)會(huì)被自動(dòng)感染。

二、后門(mén)觸發(fā)機(jī)制

惡意軟件的后門(mén)功能高度隱蔽，僅在滿(mǎn)足特定條件時(shí)才會(huì)激活。例如：

• 用戶(hù)在運(yùn)行帶有“--targets”參數(shù)的命令時(shí)觸發(fā)后門(mén)。
• 使用yawpp工具的核心腳本（checker.js或poster.js）時(shí)自動(dòng)激活。

三、持久性與信息竊取

惡意軟件通過(guò)偽裝為合法的會(huì)話(huà)認(rèn)證服務(wù)（Xsession.auth）實(shí)現(xiàn)持久化運(yùn)行。每隔12小時(shí)，Xsession.auth會(huì)系統(tǒng)性地收集設(shè)備上的敏感信息，包括：

• SSH密鑰及配置文件
• 系統(tǒng)命令歷史記錄
• 環(huán)境變量和網(wǎng)絡(luò)信息

這些數(shù)據(jù)隨后被上傳至Dropbox或file.io賬戶(hù)供攻擊者使用。此外，惡意軟件還在部分設(shè)備上安裝了加密貨幣挖礦程序。

四、精準(zhǔn)釣魚(yú)與社會(huì)工程

MUT-1244的另一大傳播手段是利用釣魚(yú)郵件。攻擊者從arXiv平臺(tái)抓取了2758個(gè)電子郵件地址，向受害者發(fā)送偽裝成“CPU微代碼更新”的郵件，聲稱(chēng)能顯著提升計(jì)算性能。這些郵件在10月5日至21日之間發(fā)送，目標(biāo)為高性能計(jì)算領(lǐng)域的研究人員。

為了增加可信度，惡意軟件甚至被嵌入到一些合法資源中，例如Feedly Threat Intelligence和Vulnmon。這些網(wǎng)站將惡意包列入漏洞概念驗(yàn)證的代碼庫(kù)中，使其更加隱蔽。

目標(biāo)與動(dòng)機(jī)令人疑惑

MUT-1244的攻擊目標(biāo)是多樣化的，既包括竊取敏感信息，也涉及加密貨幣挖礦。截至目前，攻擊者已竊取約39萬(wàn)條WordPress網(wǎng)站的管理憑證，受感染的設(shè)備上至少有68臺(tái)運(yùn)行了挖礦程序。然而，這種復(fù)雜的攻擊行為與目標(biāo)群體選擇之間的矛盾引發(fā)了諸多疑問(wèn)：如果攻擊者的主要目的是挖礦，為何選擇網(wǎng)絡(luò)安全研究人員？如果是竊取信息，為何加入容易被檢測(cè)的挖礦活動(dòng)？

如何防范：檢查指標(biāo)與安全建議

針對(duì)這次攻擊，Checkmarx和Datadog發(fā)布了一些檢測(cè)方法，幫助潛在受害者確認(rèn)自己是否中招。安全人員應(yīng)重點(diǎn)檢查以下方面：

• 檢查系統(tǒng)中是否存在偽裝為Xsession.auth的進(jìn)程。
• 確認(rèn)是否安裝了@0xengine/xmlrpc或yawpp等被標(biāo)記為惡意的軟件包。
• 留意設(shè)備是否異常運(yùn)行挖礦程序。

此外，安全專(zhuān)家建議：

• 謹(jǐn)慎使用開(kāi)源軟件庫(kù)中的代碼包，尤其是未知來(lái)源的項(xiàng)目。
• 定期更新安全工具，掃描潛在威脅。
• 在郵件中接收到CPU更新或類(lèi)似信息時(shí)，務(wù)必核實(shí)來(lái)源。

結(jié)語(yǔ)：網(wǎng)絡(luò)安全人員需提高警惕

MUT-1244攻擊充分展示了供應(yīng)鏈攻擊的隱蔽性、復(fù)雜性與破壞力，甚至網(wǎng)絡(luò)安全專(zhuān)業(yè)人員都難以幸免。通過(guò)偽裝合法工具并利用多渠道傳播，攻擊者成功侵入了網(wǎng)絡(luò)安全人員的設(shè)備，甚至竊取了同類(lèi)攻擊者的數(shù)據(jù)。這一事件為行業(yè)敲響警鐘，凸顯了開(kāi)源環(huán)境中潛在的安全隱患。

在網(wǎng)絡(luò)安全領(lǐng)域，信任與漏洞總是如影隨形。隨著攻擊技術(shù)的不斷進(jìn)步，研究人員和開(kāi)發(fā)者需要加強(qiáng)警惕，確保自己的工具鏈和設(shè)備免受威脅。在面對(duì)像MUT-1244這樣復(fù)雜的攻擊時(shí)，協(xié)同防御與信息共享是抵御未來(lái)威脅的關(guān)鍵。