供应链攻击概述

过去一年中，一场复杂的供应链攻击持续进行，通过感染GitHub和NPM上的开源软件版本，窃取恶意和善意安全人员的敏感登录凭证。该攻击由安全公司Checkmarx和Datadog Security Labs分别在三周前和上周五报告。

攻击手段

攻击者通过多种途径感染安全研究人员和其他技术领域人员的设备。其中包括在开源仓库中发布超过一年的恶意软件包，这些软件包安装了精心隐藏的后门。此外，攻击者还通过针对arXiv平台上发布论文的研究人员的钓鱼邮件进行攻击。

攻击目标

攻击者的目标多样，包括每12小时从受感染设备中收集SSH私钥、AWS访问密钥、命令历史记录等敏感信息。截至报告发布时，仍有数十台设备被感染，Dropbox账户中存储了约390,000个WordPress网站的凭证，这些凭证很可能是从其他恶意攻击者那里窃取的。攻击中使用的恶意软件还安装了挖矿软件，截至上个月，至少有68台设备受到影响。

攻击工具

Checkmarx发现的@0xengine/xmlrpc软件包自2023年10月起在NPM JavaScript仓库中流通。该软件包最初是良性的，提供XML-RPC协议的JavaScript实现，但逐渐演变为恶意软件。另一个名为yawpp的软件包在GitHub上发布，虽然代码本身没有恶意，但由于依赖@0xengine/xmlrpc，安装时会自动引入恶意软件。

攻击持久性

恶意软件通过伪装成合法的会话认证服务Xsession.auth保持持久性，每12小时收集一次敏感系统信息，包括SSH密钥、命令历史、系统配置等，并将数据上传到Dropbox或file.io。挖矿活动表明恶意软件在现实世界的设备上运行。

其他攻击手段

Datadog发现，MUT-1244还通过GitHub上的49个恶意条目传播第二阶段恶意软件，这些条目包含针对安全漏洞的特洛伊木马概念验证利用代码。此外，攻击者还通过钓鱼邮件传播@0xengine/xmlrpc，邮件内容鼓励高性能计算领域的研究人员安装性能提升的CPU微码更新。

攻击的复杂性

攻击的多个方面——持久性、精确性、后门的专业质量以及多种感染途径——表明MUT-1244是一个技术娴熟且坚定的威胁行为者。然而，攻击者在公开账户中留下钓鱼邮件模板和地址，暴露了其行踪。

攻击动机

攻击者的最终动机尚不明确。如果目标是挖矿，攻击安全人员并非最佳选择；如果目标是研究人员，挖矿活动则容易被发现。

检测与防护

Checkmarx和Datadog的报告包含可用于检查是否被攻击的指标，建议相关人员进行自查和防护。