标签: 供应链攻击

恶意 NPM 软件包瞄准德国公司进行供应链攻击

5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。 目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。 “维护者”bertelsmannnpm 一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。 供应链攻击 上述发现来自Snyk的报告,该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”,并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。 Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中,掌握了这样一个包的存在信息。” Reversing实验室证实了黑客攻击行为,称上传至NPM的恶意模块版本号比私有模块的版本号更高,从而迫使模块进入目标环境,这是依赖混淆攻击的明显特征。 该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本,与恶意软件包的公开版本名称相同,但其使用的是版本0.5.70和4.0.49。” JFrog称这种植入是“内部开发”,并指出该恶意软件包含两个组件,一个是传输器,它在解密和执行JavaScript后门之前,向远程遥测服务器发送有关被感染机器的信息。 后门虽然缺乏持久性机制,但设计用于接收和执行硬编码的命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。 研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。 在此之前,以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332868.html 封面来源于网络,如有侵权请联系删除

注意,NIST 更新了网络安全供应链风险指南

近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。 网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期:包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全实践。 目前,NIST发布了“系统和组织网络安全供应链风险管理实践”,以此响应“改善国家网络安全”的美国第14028号行政命令。 系统和组织网络安全供应链风险管理实践明确指出,本刊物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程以及减轻企业控制措施的指导,以帮助管理整个供应链的网络安全风险。” 修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为不同的受众提供建议:网络安全专家、负责企业风险管理人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等。 NIST 的Jon Boyens表示,管理供应链的网络安全是一项一直存在的需求,当供应链遭到勒索软件攻击时,制造商可能因缺乏重要组件而停摆,连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件,该指南的主要读者群将是产品、软件及服务的采购商与终端用户,倘若政府机关或组织尚未着手管理供应链的风险问题,那么这就是一个从零到有的完整工具。 NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。毕竟,一种设备可能是在一个国家/地区设计的,但是它的组件可能在全球多个国家/地区制造,只要生产这些组件的公司其中一个出现安全事件,那么就有可能会对整个供应链的产品和服务产生重大影响,大大增加了全球组织的攻击面和受影响的连锁性。 例如制造商可能会因为其中一个供应商受到勒索软件攻击,而导致关键制造组件的供应中断,或者零售连锁店可能会因为维护其空调系统的公司可以访问商店的数据共享网站而遭遇数据泄露事件。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332505.html 封面来源于网络,如有侵权请联系删除