供应链攻击推动网络犯罪经济"自我强化"循环

网络犯罪分子正在将供应链攻击发展为工业规模的运营模式，将数据泄露、凭证盗窃和勒索软件攻击连接成一个"自我强化"的生态系统。

研究机构Group-IB在其最新趋势报告中指出，导致企业遭受更广泛下游威胁的个别攻击现在已经相互关联，网络犯罪分子采用多种方法来攻破供应商和服务提供商。

像近期的Shai-Hulud NPM蠕虫、Salesloft事件或OpenClaw软件包投毒等供应链攻击，正迅速成为犯罪集团的主要目标，他们试图利用继承的访问权限来攻击受害者的客户。

研究报告指出："开源软件包的妥协助长了恶意软件传播和凭证盗窃。钓鱼攻击和OAuth滥用导致身份妥协，从而解锁SaaS和CI/CD环境。数据泄露提供了改进冒充和横向移动所需的凭证、上下文和关系。勒索软件和敲诈出现在攻击链的后期，利用早期收集的访问权限和情报。每个阶段都会增强下一个阶段，形成供应链利用的自我强化循环。"

Group-IB预测，在未来一年内，供应链攻击的执行速度将会加快，这得益于基于生成式AI的辅助工具，这些工具能够以机器速度扫描供应商、CI/CD管道和浏览器扩展市场中的漏洞。

该机构还预期传统恶意软件将被身份攻击所取代，犯罪分子将自己伪装成合法用户，他们的活动融入正常的日常业务功能中，从而能够更长时间地规避检测。

Group-IB表示，提供人力资源、客户关系管理和企业资源规划平台的公司，以及托管服务提供商，都是高优先级目标，因为单一的妥协就可能导致黑客获得数百个客户的访问权限。

Salesloft泄露事件以及2025年3月的Oracle妥协事件，都是数据泄露从单一回报模式转向利用访问权限进行额外妥协模式的例子。

犯罪分子不再采取获取大量数据并要求敲诈付款的方式，而是花时间收集OAuth令牌，利用配置错误的合作伙伴连接进行横向移动。然后他们瞄准下游客户，窃取数据和联系人列表以重复这个循环，或者在涉及NPM和类似生态系统的案例中，向用户提供恶意更新以大规模实施欺诈。

Group-IB首席执行官德米特里·沃尔科夫表示："网络犯罪不再由单一泄露事件定义，而是由信任的连锁失败来定义。攻击者正在将供应链妥协产业化，因为这能带来规模、速度和隐蔽性。现在单一的上游泄露可能波及整个行业。防护者必须停止以孤立系统的思维模式思考，开始保护信任本身，涵盖每个关系、身份和依赖关系。"

组织应该将第三方视为自身攻击面的延伸。沃尔科夫说："在供应链威胁建模、自动化依赖检查和数据流可视性方面的战略投资不再是可选的，它们是现代安全架构的基础。"

Q&A

Q1：什么是供应链攻击的"自我强化"循环？

A：这是指网络犯罪分子将数据泄露、凭证盗窃和勒索软件攻击连接成一个生态系统，每个攻击阶段都会增强下一个阶段。开源软件包妥协助长恶意软件传播，钓鱼攻击解锁系统环境，数据泄露提供进一步攻击所需信息，最后实施勒索，形成循环。

Q2：生成式AI如何影响供应链攻击？

A：生成式AI辅助工具能够以机器速度扫描供应商、CI/CD管道和浏览器扩展市场中的漏洞，大大加快供应链攻击的执行速度。同时，犯罪分子可能利用AI技术进行更精准的身份伪装，使其攻击活动更好地融入正常业务流程。

Q3：企业应该如何防护供应链攻击？

A：企业应将第三方供应商视为自身攻击面的延伸，停止孤立系统的思维模式。需要进行战略投资，包括供应链威胁建模、自动化依赖检查和数据流可视性，这些已成为现代安全架构的基础要素，而非可选项目。