新型开源供应链攻击银行部门

应用安全提供商Checkmarx发现了第一起针对银行业的开源软件供应链攻击。

在最近的一份报告中，Checkmarx的研究人员分析了两种不同的、复杂的供应链攻击，这些攻击依赖于开源工具集。两次袭击的目标都是银行。

第一次攻击始于2023年2月，当时一名威胁行为者向全球最大的软件注册表NPM上传了一个包。

该软件包包含一个有效载荷，旨在锁定目标银行网页上的特定登录表单元素，秘密拦截登录数据，然后将其传输到远程位置。

从2023年4月初观察到的第二次攻击的前提是类似的，威胁行为者上传软件包到NPM。这些软件包包含一个预安装脚本，在安装时执行其恶意目标。

首先，脚本识别受害者的操作系统(Windows、Linux或Darwin/MacOS)。然后，根据结果，脚本对NPM包中的相关加密文件进行解码。

接下来，攻击者使用这些文件将恶意二进制文件下载到受害者的系统中。为了避免检测并绕过传统的拒绝列表方法，攻击者在Microsoft Azure CDN上创建了一个包含目标银行名称的子域。

他们还利用了Havoc框架，这是一种先进的攻击后命令和控制框架，由自称为恶意软件作者的Twitter用户精心制作。

报告称:“Havoc能够规避Windows Defender等标准防御措施，这使得它成为威胁行为者的首选，取代了Cobalt Strike、silver和Brute Ratel等合法工具包。”

Checkmarx还指出，这些软件包背后的贡献者链接到一个冒充目标银行员工的个人LinkedIn个人资料页面。

安全研究人员评论说:“我们最初的假设是，这可能是银行的一次渗透测试。然而，我们在联系该机构要求澄清后收到的回复却描绘了一幅不同的画面，该银行并不知道这一活动。”

虽然Checkmarx已经报告并删除了恶意开源软件包，但该公司预测针对银行业软件供应链的攻击将持续下去。