近日，網(wǎng)絡(luò)安全公司Checkmarx首次披露了一種專門攻擊黑客和網(wǎng)絡(luò)安全研究人員的供應(yīng)鏈攻擊。據(jù)報道，這場長達一年的攻擊活動通過開源軟件的“木馬化”版本來竊取黑帽黑客的敏感信息，同時還針對善意的安全研究人員，令業(yè)內(nèi)震驚。

該攻擊活動由Datadog安全實驗室進一步證實。攻擊者主要通過以下兩種方式感染目標設(shè)備：

• 木馬化開源軟件：攻擊者在GitHub和NPM平臺上分發(fā)被植入后門的開源軟件包。這些包偽裝成合法工具，實際上卻會竊取設(shè)備中的敏感信息。
• 精準釣魚郵件：攻擊者針對發(fā)布安全學(xué)術(shù)論文的研究人員，尤其是使用arXiv平臺的用戶，發(fā)送精心設(shè)計的釣魚郵件。

這些惡意軟件不僅精密且隱蔽，甚至能夠長期潛伏，伺機竊取信息。

攻擊手法：多重感染路徑與專業(yè)后門

攻擊活動由一個被命名為“MUT-1244”的威脅組織實施，“MUT”代表“神秘未知威脅”（Mysterious Unattributed Threat）。以下是其具體攻擊方式：

一、木馬化的軟件包

攻擊的核心工具之一是@0xengine/xmlrpc，這是一個在NPM平臺上流傳已久的JavaScript庫。起初，它以提供Node.js環(huán)境下的XML-RPC協(xié)議實現(xiàn)為幌子，逐步更新為惡意版本。僅在上線的頭12個月內(nèi)，該包進行了16次更新，制造出“可信賴”的假象。

另一個關(guān)鍵組件是GitHub上的yawpp工具，這款工具偽裝為WordPress憑證驗證和內(nèi)容發(fā)布工具。雖然yawpp本身并無惡意代碼，但由于依賴@0xengine/xmlrpc，其用戶在安裝yawpp時會被自動感染。

二、后門觸發(fā)機制

惡意軟件的后門功能高度隱蔽，僅在滿足特定條件時才會激活。例如：

• 用戶在運行帶有“--targets”參數(shù)的命令時觸發(fā)后門。
• 使用yawpp工具的核心腳本（checker.js或poster.js）時自動激活。

三、持久性與信息竊取

惡意軟件通過偽裝為合法的會話認證服務(wù)（Xsession.auth）實現(xiàn)持久化運行。每隔12小時，Xsession.auth會系統(tǒng)性地收集設(shè)備上的敏感信息，包括：

• SSH密鑰及配置文件
• 系統(tǒng)命令歷史記錄
• 環(huán)境變量和網(wǎng)絡(luò)信息

這些數(shù)據(jù)隨后被上傳至Dropbox或file.io賬戶供攻擊者使用。此外，惡意軟件還在部分設(shè)備上安裝了加密貨幣挖礦程序。

四、精準釣魚與社會工程

MUT-1244的另一大傳播手段是利用釣魚郵件。攻擊者從arXiv平臺抓取了2758個電子郵件地址，向受害者發(fā)送偽裝成“CPU微代碼更新”的郵件，聲稱能顯著提升計算性能。這些郵件在10月5日至21日之間發(fā)送，目標為高性能計算領(lǐng)域的研究人員。

為了增加可信度，惡意軟件甚至被嵌入到一些合法資源中，例如Feedly Threat Intelligence和Vulnmon。這些網(wǎng)站將惡意包列入漏洞概念驗證的代碼庫中，使其更加隱蔽。

目標與動機令人疑惑

MUT-1244的攻擊目標是多樣化的，既包括竊取敏感信息，也涉及加密貨幣挖礦。截至目前，攻擊者已竊取約39萬條WordPress網(wǎng)站的管理憑證，受感染的設(shè)備上至少有68臺運行了挖礦程序。然而，這種復(fù)雜的攻擊行為與目標群體選擇之間的矛盾引發(fā)了諸多疑問：如果攻擊者的主要目的是挖礦，為何選擇網(wǎng)絡(luò)安全研究人員？如果是竊取信息，為何加入容易被檢測的挖礦活動？

如何防范：檢查指標與安全建議

針對這次攻擊，Checkmarx和Datadog發(fā)布了一些檢測方法，幫助潛在受害者確認自己是否中招。安全人員應(yīng)重點檢查以下方面：

• 檢查系統(tǒng)中是否存在偽裝為Xsession.auth的進程。
• 確認是否安裝了@0xengine/xmlrpc或yawpp等被標記為惡意的軟件包。
• 留意設(shè)備是否異常運行挖礦程序。

此外，安全專家建議：

• 謹慎使用開源軟件庫中的代碼包，尤其是未知來源的項目。
• 定期更新安全工具，掃描潛在威脅。
• 在郵件中接收到CPU更新或類似信息時，務(wù)必核實來源。

結(jié)語：網(wǎng)絡(luò)安全人員需提高警惕

MUT-1244攻擊充分展示了供應(yīng)鏈攻擊的隱蔽性、復(fù)雜性與破壞力，甚至網(wǎng)絡(luò)安全專業(yè)人員都難以幸免。通過偽裝合法工具并利用多渠道傳播，攻擊者成功侵入了網(wǎng)絡(luò)安全人員的設(shè)備，甚至竊取了同類攻擊者的數(shù)據(jù)。這一事件為行業(yè)敲響警鐘，凸顯了開源環(huán)境中潛在的安全隱患。

在網(wǎng)絡(luò)安全領(lǐng)域，信任與漏洞總是如影隨形。隨著攻擊技術(shù)的不斷進步，研究人員和開發(fā)者需要加強警惕，確保自己的工具鏈和設(shè)備免受威脅。在面對像MUT-1244這樣復(fù)雜的攻擊時，協(xié)同防御與信息共享是抵御未來威脅的關(guān)鍵。