这2天NPM仓库又遭受严重的供应链攻击,看起来性质和LedgerHQ库的事件差不多,目的也是盗窃加密货币。虽然这次并没有成功盗取到币,但是影响范围巨大,目前至少已发现了24款核心库被黑,包括chalk和debug等知名的JS库,这些库每周有着超过20亿级别的下载量,对JavaScript生态圈造成了巨大的冲击。今天也是看到朋友圈在转发,就趁着热度学习整理一波。
根据@StarPlatinumSOL的描述,JS开发者在一个奇怪的构建错误中发现了这个事情,错误显示fetch(JS原生函数)未定义,然后在检查代码过程中他们发现了一行经过重度混淆的JS代码,该代码隐藏了类似checkethereumw的可疑函数。
写这篇的文章的原因如下:
1、 去年有及时关注到这起供应链攻击事件,但由于不熟悉区块链安全以及对关键代码的解密困难未能深入分析,就先收藏留存;
2、 对区块链安全的兴趣日益加深,以及职业发展需求驱动下开始尝试学习储备相关知识技能;
3、 最近突然对关键代码的解密有所突破,并借助AI工具加速分析和理解;
4、 未在互联网上找到与此相关的技术细节方面(可能是个人关注的角度)的分析,希望能分享一些学习过程中的新发现,为安全社区贡献一点绵薄之力;
5、 软件供应链攻击的分析专题补充一类涉及NPM投毒、区块链相关的经典案例。
2023年12月份在推特上关注到慢雾科技的余弦大大在播报这个软件供应链攻击事件,大致了解到知名的硬件钱包厂商Ledger维护的一个JS库被篡改,影响了很多dApps(去中心化)应用,更传奇的是听说黑客转走了很多用户的加密货币。
https://twitter.com/evilcos/status/1735285800101884272
前一篇分析的华硕影锤供应链攻击是通过修补官方升级程序植入后门,并将其替换到官方升级服务器从而利用升级通道进行投毒攻击。本篇分享的PhpStudy软件后门事件有点相类似,攻击者入侵官网下载服务器后将植入后门的版本与原软件包替换,成功借助这款公益性软件非法控制67万余台计算机并盗取帐号密码等10万多组数据。该案例最早可以追溯到2016年,直至2018年12月才首次漏出痕迹被立案调查,并于2019年9月最终披露,时间跨度之长在众多软件供应链攻击案例中也算是名列前茅的。并且由于该软件和后门的特殊性,以至于“一石激起千层浪”,在该案件披露后不仅各大安全厂商在争相报导,同时也让各路黑客疯狂收割“肉鸡”服务器、网站管理员加班加点排查防护。
之前分析的Xshell和CCleaner软件供应链攻击案例都是从软件开发的源头上开始投毒,本篇分享的华硕电脑供应链后门事件则有些不同,它是属于另外一种形式的典型供应链攻击,即利用软件的升级更新渠道向目标用户端进行投毒。该类型的软件供应链攻击如果经过精心部署,其攻击效果有可能同此案例一样达到一种新的高度,因为该攻击活动一直未被发现直到行动结束很久才被发现,卡巴斯基认为其在复杂性和技术上与Xshell和CCleaner事件相当甚至超过。
2019年3月25日,卡巴斯基实验室发布报告公开了影锤(ShadowHammer)行动,披露攻击者利用华硕实时更新软件进行的供应链攻击。
2017年可以算是软件供应链攻击高发的一年,上个“XshellGhost”案例的发生时间是2017年七月份,随后2个月在2017年九月份又爆出了另外一起在国外影响深远的类似事件“CClenerGhost”。该事件也是一起针对IT基础设施平台(软件)的经典供应链攻击案例,攻击者利用植入其中的后门代码作跳板来实施渗透到其他大型IT公司的目标,其攻击水平和渗透能力也是比较突出,甚至在某些方面可能与“XshellGhost”案例存在一定的关联性和相似性。
本次事件的重要时间节点如下所示。