聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
攻击者通过伪装成AUR平台上的可信发布者,向受感染的软件包中植入了恶意代码。AUR是Arch Linux发行版中由社区维护的核心仓库,包含软件包的构建脚本(PKGBUILD),但由于并非经过严格审查,威胁行动者能够利用所有权变更不易被察觉的漏洞来推送恶意软件。
根据该开源情报社区成员Michael Taggart的分析,受感染的软件包通过修改预安装脚本,下载并执行了一个名为atomic-lockfile的恶意npm包。独立安全研究员Whanos指出,该npm包中包含一个名为“deps” 的Linux ELF载荷,具备凭证窃取功能,并可选择启用仅限root权限的eBPF rootkit能力。该恶意软件主要针对开发者工作站和构建环境,窃取浏览器数据、Electron应用信息、Slack、Microsoft Teams、Discord、GitHub、npm、Vault、Docker/Podman、SSH、VPN材料、shell历史记录以及其他本地开发者机密信息。借助eBPF技术,恶意软件能够在内核中运行并隐藏自身进程。另据Sonatype公司的报告,攻击者还劫持了至少20个AUR上的无人认领包,通过修改PKGBUILD文件添加后安装脚本,调用npm获取并安装恶意包。
Sonatype公司报告称,该Linux二进制文件明确具有信息窃取功能,针对以下类型的敏感信息:GitHub凭证、SSH工件、HashiCorp Vault令牌、浏览器cookie数据库、Slack数据、Discord数据、Microsoft Teams数据、Telegram数据。此外,该二进制文件能够对数据进行归档、处理多部分文件并执行HTTP上传,具备典型的数据外传能力。
目前,AUR维护者正在识别并移除所有恶意提交,同时封禁推送这些软件包的账户。Arch Linux官方建议用户仅信任更新频繁且有活跃社区维护的项目,并查阅受影响软件包列表及入侵指标。如发现受感染的软件包,用户应更换所有凭证,并考虑从头重新安装Arch Linux系统,因为rootkit可能无法通过常规清理手段彻底清除。
最新软件供应链事件概览:Red Hat npm 包遭劫持;投毒 Claude Code;OpenAI Codex 认证令牌被盗
TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件
GitHub 被黑或因员工安装 Nx Console 恶意扩展引发,更多详情待调查
GitHub 内部仓库疑遭未授权访问,TeamPCP 据称正在出售 GitHub 内部源代码
奇安信Qcode Agents重磅升级,正式解锁操作系统级漏洞挖掘能力
Grafana 令牌被盗,GitHub 环境可遭访问且代码库被下载
TeamPCP再发动供应链攻击;数百个恶意包被上传,RubyGems 暂停新账号注册
Checkmarx 再遭攻击,Jenkins AST 插件受陷
Go 流行库 fsnotify 的维护人员访问权限变更,拉响供应链攻击警报
Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播
热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
GitHub Copilot 严重漏洞可导致私有仓库源代码被盗
受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露
https://www.bleepingcomputer.com/news/security/over-400-arch-linux-packages-compromised-to-push-rootkit-infostealer/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~