北京
“敌人不再只是瞄准产品,他们开始瞄准构建产品的开发者。”网络安全公司CrowdStrike在一份行动报告中用这句话揭开了供应链攻击的新逻辑。上周,CrowdStrike联合Google和非营利组织Shadowserver,端掉了一个名为Glassworm的僵尸网络,这个网络在两年时间里专门对开源软件开发者下手,推送恶意软件、窃取密码,最终把超过300个GitHub代码仓库染上了毒。
事情要从几条C2通道的失联说起。CrowdStrike一口气干掉了Glassworm黑客使用的四个命令与控制信道,一下切断了他们对已感染电脑的连接,也让后续的恶意软件无法继续派发。这些C2服务器藏得极其刁滑——有的依赖Solana区块链,有的藏身于BitTorrent点对点网络,有的塞进Google日历,有的挂在虚拟专用服务器上,活像一个大隐隐于市的数字黑产基础设施。这样一套组合拳,让追踪和阻断的难度翻了数倍。
而这帮黑客的下手目标,恰恰是整个软件行业最脆弱的一环:写代码的人。他们用三种手法反复渗透。第一招,在一个开发者常用的扩展市场里发布恶意插件,等着别人下载;第二招,花钱买付费搜索结果,搞“恶意广告”,让搜工具库的开发者点进伪装页面下载带毒包;第三招,把之前数据泄露里捞到的账号密码拿来撞库,一旦成功就劫持开发者账号,往正经代码仓库里塞后门。三招轮番招呼,很难有开发者全身而退。
更叫人后背发凉的是攻击的传导效应。CrowdStrike在报告里直言:攻破单个开发者的工作站,就可能在供应链上砸出一场连锁雪崩,波及上千家下游组织和最终用户。Glassworm的案例就是教科书式的注脚。仓库被投毒后,任何引用了这些代码的项目、公司、服务,都会在不知不觉间把恶意逻辑带进自家系统。对于连生产环境都用开源组件拼起来的互联网,这无异于在自来水管网里投毒。
取缔行动本身倒是干脆利落,但至今没人说得清CrowdStrike和合作伙伴到底依据什么样的法律或技术授权这么干。面对追问,CrowdStrike发言人没有立刻回应。这一手“先干再说”的做法,在安全圈里并不陌生,但每次出现都提醒我们,全球互联网的底层治理还处在一种“谁抓到谁按倒”的灰域状态。
Glassworm不是孤例。就在上周,另一个名为“Mini Shai-Hulud”的黑客行动也曝了光,多名攻击者入侵开源项目,推送恶意更新,甚至殃及了OpenAI的内部开发者。再往前倒,三月份一起供应链攻击中,疑似朝鲜黑客劫持了拥有数百万开发者的开源工具Axios,用滚雪球的信任链把恶意代码往各处搬运。一连串事件拼在一起,看得出攻击者已经完成了认知升级:与其死磕防御成熟的服务端,不如捅穿坐在键盘前面的人。
几件事叠加浮现一个扎心的问题:我们保护代码仓库的精力,是不是还停留在防漏洞、扫依赖的阶段,而忘了坐在椅子上的那个家伙才是最大的攻击面?做开发的每天要装几十个插件,点一堆搜索结果,换密码全靠系统提示——这种工作流看在任何红队眼里,都是闪闪发光的突破口。Glassworm的300多个仓库,可能只是被捞起来的一瓢,水底下还有多少中毒的代码正在被安装、编译、上线,恐怕没人能给出确切数字。
市场里的安全工具能扫依赖关系,能跑静态分析,但遇到被劫持的开发者账号,几乎没有自动化的信誉兜底。把恶意插件伪装成格式化工具,把恶意广告伪装成软件官网,把窃取的凭证直接用来往仓库写代码,这三条路都绕开了传统应用安全、网络安全的监测节点。开发者的每一次点击、每一次安装、每一次认证,都是需要被装进威胁模型里的变量。
供应链安全正从版本号的较量,变成对人的争夺。Glassworm的C2通道被拔了,黑客八成在换基础设施。下次再出现时,他们可能已经把通道搬到去中心化存储,或者把恶意扩展打磨得更像真货。唯一确定的,是只要开发者的信任还被当作免费燃料,这类攻击就绝不会停下来。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
