1. 首頁 > 生活百科 > >

供應鏈攻擊波及千家云環境,黑客組織與勒索團伙合作

網絡安全軟件黑客github供應鏈管理

供應鏈攻擊波及千家云環境,黑客組織與勒索團伙合作

在上周的Trivy供應鏈攻擊事件中 , 已有數千家企業的云環境被植入竊密惡意軟件 , 而發動此次攻擊的犯罪分子正在與臭名昭著的勒索團伙Lapsus$等組織展開合作 。

\"目前我們已經發現超過1000個受影響的SaaS環境正在積極應對這一特定威脅行為者的攻擊 , \"Mandiant咨詢公司首席技術官Charles Carmakal在舊金山RSA大會期間的谷歌活動上表示 。
\"這1000多個下游受害者可能會擴展到另外500個、1000個 , 甚至10000個 , \"他繼續說道 。 \"我們知道這些攻擊者目前正在與其他多個攻擊者合作 。 \"
Carmakal表示 , 這些犯罪分子主要位于美國、英國、加拿大和西歐 。 他們\"以勒索時異常激進而聞名\" 。 \"他們非常囂張、非常激進 , 所以在未來幾天、幾周和幾個月里 , 我們將看到其影響 。 \"
據谷歌旗下的另一家安全公司Wiz透露 , 其中一個團伙就是Lapsus$ 。
【供應鏈攻擊波及千家云環境,黑客組織與勒索團伙合作】\"我們正看到供應鏈攻擊者與Lapsus$等知名勒索團伙之間出現危險的趨同 , \"Wiz首席研究員Ben Read周二通過電子郵件告訴The Register 。
除了攻擊Trivy和開源靜態分析工具KICK外 , 這次供應鏈攻擊還對liteLLM進行了木馬化處理 。 liteLLM是一個關鍵的AI中間件 , 存在于36%的云環境中 。
\"通過在生態系統中橫向移動——攻擊像liteLLM這樣存在于超過三分之一云環境中的工具——他們正在制造雪球效應 , \"Reed說 。 \"這不是一個孤立事件 , 而是一個系統性活動 , 需要安全團隊采取行動 , 并且很可能繼續擴大 。 \"
根據攻擊者公開的電報消息 , 他們計劃繼續針對其他熱門開源項目 。
事件經過如下:上周晚些時候 , 安全研究員Paul McCarty警告了一起針對Trivy的廣泛供應鏈攻擊 。 Trivy是由Aqua Security維護的開源掃描器 , 用于發現漏洞、錯誤配置和暴露的機密信息 。
開發者通常將這個掃描器嵌入到他們的CI/CD管道中 , 這使其成為攻擊者利用的寶貴目標 , 因為它允許他們竊取API密鑰、云和數據庫憑據、GitHub令牌以及大量其他機密和敏感信息 。
一個名為TeamPCP的組織破解了Trivy 0.69.4版本 , 向用戶推送了惡意容器鏡像和GitHub發布版本 。 他們之所以能夠做到這一點 , 是因為早在2月份 , 同一團伙就利用了Trivy GitHub Action組件中的錯誤配置 , 竊取了特權訪問令牌 。
這個安全問題從未得到完全修復 , 后來在3月份 , 惡意分子使用該令牌對Trivy進行了冒名提交 。
Socket和谷歌旗下的Wiz研究人員在周末確定 , 這次攻擊破壞了Trivy項目的多個組件:核心掃描器、trivy-action GitHub Action和setup-trivy GitHub Action , 并強制推送了76個trivy-action標簽中的75個惡意版本 , 這意味著任何在開發管道中嵌入Trivy的人在打開掃描器時都會執行信息竊取惡意軟件 。
\"GitHub上有超過10000個工作流文件引用了這個操作 , 潛在的影響范圍非常大 , \"Socket分析師Philipp Burckhardt在周五表示 。
研究人員還發現TeamPCP擴大了其操作范圍 , 通過一個前所未見的蠕蟲病毒CanisterWorm感染了npm生態系統 , 利用從最初Trivy攻擊中竊取的發布令牌 。
周日 , Socket發現了發布到Docker Hub的額外惡意鏡像 , McCarty注意到犯罪分子篡改了Aqua Security的內部GitHub , 重命名了所有44個存儲庫并暴露了內部源代碼、CI/CD配置和知識庫 。 當時 , 每個存儲庫的描述都寫著:\"TeamPCP擁有Aqua Security\" 。
據Socket稱 , \"雖然這種訪問權限的完整范圍仍不清楚 , 但這些存儲庫的存在表明在攻擊期間對GitHub組織有更深層次的控制 。 \"
Q&A
Q1:Trivy供應鏈攻擊影響了多少家企業?
A:根據Mandiant咨詢公司首席技術官透露 , 目前已發現超過1000個SaaS環境受到影響 , 而這個數字預計還會繼續擴大 , 可能增加到500個、1000個 , 甚至10000個受害者 。
Q2:TeamPCP是如何成功攻擊Trivy的?
A:TeamPCP在2月份利用了Trivy GitHub Action組件中的錯誤配置 , 竊取了特權訪問令牌 。 由于這個安全問題從未完全修復 , 攻擊者在3月份使用該令牌對Trivy進行冒名提交 , 最終在上周成功推送惡意版本 。
Q3:除了Trivy之外 , 這次攻擊還影響了哪些軟件?
A:攻擊還影響了開源靜態分析工具KICK和AI中間件liteLLM 。 liteLLM存在于36%的云環境中 , 攻擊者還通過名為CanisterWorm的蠕蟲病毒感染了npm生態系統 。

    推薦閱讀