网络安全研究人员发现沙虫(Shai Hulud)恶意软件的第三个变种,这一最新版本展现出比早期攻击活动更高的复杂性和隐蔽性,再次引发对开源软件供应链安全性的担忧。
针对JavaScript生态的供应链攻击
沙虫恶意软件活动最早于去年9月被发现,其攻击重点并非传统终端感染,而是通过供应链入侵手段破坏JavaScript生态系统。该恶意软件使用被植入木马的npm(node packet manager)软件包窃取凭证并自我传播。
3.0版本的技术升级
最新演化的沙虫3.0版本仍通过恶意npm软件包攻击JavaScript开发者。据首次发现该变种的安全公司Aikido Security NV称,这个自传播蠕虫在保持核心能力------横向扩散至开发者环境和持续集成管道的同时,还优化了先前攻击中使用的技术。
新变种包含多项技术改进,重点提升韧性和规避检测能力,包括:
- 更完善的错误处理机制
- 更模块化的代码结构
- 增强的混淆技术
- 对包括Windows环境在内的各类JavaScript运行时更广泛的兼容性
攻击策略演变
与早期版本相比,沙虫3.0目前仅通过少量软件包分发。这种有限的传播范围可能是攻击者的有意为之,他们通常在发起大规模攻击前通过可控部署测试更新的恶意软件。
沙虫的持续演化也凸显出开发者环境作为攻击面的吸引力正在增长。其核心攻击思路相当简单:将恶意代码嵌入开源依赖项,使攻击者能够绕过边界防御,访问存储着云基础设施、源代码仓库和部署管道等高价值密钥的系统。
安全专家警告
漏洞管理公司Mondoo首席安全官Patrick Munch指出:"沙虫3.0是一种无差别的'发射后不管'武器,无法中止攻击。其快速进化鲜明地提醒我们,软件供应链仍是威胁行为者的主要目标。"
Munch解释道:"攻击软件供应链核心使攻击者能大范围窃取凭证并制造混乱。我们预计将在多个软件开发生态系统中看到类似高影响攻击的增加。"他认为,这一特定攻击载荷不仅可能造成极大破坏,还预示着未来会出现更多类似攻击。