供應(yīng)鏈攻擊持續(xù)發(fā)酵：黑客鎖定安全與開發(fā)工具

軟件安全測試公司Checkmarx成為最新一家卷入針對安全工具提供商持續(xù)攻擊的組織。此前，勒索組織Lapsus$聲稱竊取了該公司的源代碼、機(jī)密及其他敏感數(shù)據(jù)，隨后網(wǎng)上發(fā)布的數(shù)據(jù)似乎證實(shí)來自Checkmarx的一個(gè)GitHub存儲庫。在近期的更新中，Checkmarx表示調(diào)查仍在進(jìn)行中，正努力核實(shí)數(shù)據(jù)的性質(zhì)和范圍。

不過現(xiàn)有證據(jù)表明，這些數(shù)據(jù)確實(shí)源自其GitHub存儲庫，且黑客是通過3月23日發(fā)生的一起初始供應(yīng)鏈攻擊獲取了訪問權(quán)限。目前，該公司已鎖定受影響存儲庫的訪問權(quán)限，并表示如果調(diào)查確定有客戶信息被發(fā)布到網(wǎng)上，將立即通知所有相關(guān)方。早在一天前，數(shù)據(jù)竊賊Lapsus$就將Checkmarx列入了其泄露網(wǎng)站的受害者名單。根據(jù)暗網(wǎng)信息員分享的帖子，勒索者聲稱已經(jīng)傾印了大量敏感信息，包括源代碼、API密鑰、MongoDB和MySQL登錄憑證以及員工詳細(xì)信息。Checkmarx尚未對被盜數(shù)據(jù)和Lapsus$的說法作出正式回應(yīng)，但承諾會(huì)提供更詳細(xì)的更新，因?yàn)檫@場供應(yīng)鏈混亂正在安全和開發(fā)者工具領(lǐng)域引發(fā)連鎖反應(yīng)。Checkmarx在公告中提到的初始攻擊發(fā)生在3月23日，當(dāng)時(shí)一個(gè)名為TeamPCP的新型網(wǎng)絡(luò)犯罪團(tuán)伙使用了從Trivy竊取的CI/CD機(jī)密信息。Trivy是由Aqua Security維護(hù)的開源漏洞掃描器，該團(tuán)伙在2月底首次入侵了它。3月16日，TeamPCP將竊取憑據(jù)的惡意軟件注入掃描器，搜刮了大量開發(fā)者的機(jī)密、云憑據(jù)、SSH密鑰和Kubernetes配置文件，隨后在開發(fā)者的機(jī)器上植入了持久的后門。這次入侵也為攻擊者提供了進(jìn)入其他幾個(gè)開源工具的初始訪問途徑，包括LiteLLM、Telnyx以及由Checkmarx維護(hù)的開源靜態(tài)分析工具KICS。3月23日，TeamPCP將相同的竊密軟件注入KICS，并將被感染的鏡像推送到Checkmarx維護(hù)的官方Docker Hub存儲庫中。Socket的研究團(tuán)隊(duì)在分析中指出，捆綁的KICS二進(jìn)制文件被修改，加入了合法版本中不存在的數(shù)據(jù)收集和外傳功能。研究發(fā)現(xiàn)，該惡意軟件能夠生成未經(jīng)審查的掃描報(bào)告，將其加密并發(fā)送到外部端點(diǎn)。對于使用KICS掃描可能包含憑據(jù)或敏感配置數(shù)據(jù)的基礎(chǔ)設(shè)施即代碼文件的團(tuán)隊(duì)來說，這帶來了極大的風(fēng)險(xiǎn)。情況隨后變得更糟。除了被植入木馬的KICS鏡像外，不法分子還入侵了其他Checkmarx開發(fā)者工具，包括Checkmarx GitHub Actions和兩個(gè)Open VSX插件。Checkmarx在最初的安全公告中證實(shí)，公司遭遇了網(wǎng)絡(luò)安全供應(yīng)鏈?zhǔn)录?，影響了通過Open VSX市場分發(fā)的兩個(gè)特定插件以及兩個(gè)GitHub Actions工作流。攻擊者正在蓄意瞄準(zhǔn)開發(fā)者最信任的工具：安全掃描器、密碼管理器以及其他直接接入開發(fā)者環(huán)境的高權(quán)限軟件。

Socket研究人員透露，開源密碼管理器Bitwarden的CLI也在Checkmarx入侵事件中遭到破壞。這極大地?cái)U(kuò)大了攻擊的潛在破壞范圍，因?yàn)锽itwarden號稱是全球第二大企業(yè)密碼管理器，擁有千萬級用戶和龐大的企業(yè)客戶群。Socket首席執(zhí)行官Feross Aboukhadijeh表示，當(dāng)黑客攻破這樣的工具時(shí)，他們不僅僅是在攻擊一個(gè)供應(yīng)商，而是可能獲取GitHub Token、云憑據(jù)、CI機(jī)密信息以及這些工具所接觸的下游環(huán)境的訪問權(quán)限。此外，攻擊者在此次持續(xù)的行動(dòng)中專門針對安全工具和供應(yīng)商。幕后的威脅行為者對當(dāng)前安全工具和供應(yīng)商的現(xiàn)狀抱有極深的敵意，他們明確將開源安全生態(tài)系統(tǒng)和開發(fā)者基礎(chǔ)設(shè)施作為目標(biāo)。在初步入侵Trivy、LiteLLM、KICS等開源安全工具后，TeamPCP與包括Vect和Lapsus$在內(nèi)的勒索組織結(jié)盟，并在黑客論壇上吹噓將策劃更大規(guī)模的供應(yīng)鏈行動(dòng)，將這些入侵轉(zhuǎn)化為毀滅性的后續(xù)勒索軟件攻擊。今年4月初，AI初創(chuàng)公司Mercor證實(shí)，由于Lapsus$將包含Mercor源代碼在內(nèi)的數(shù)據(jù)公開拍賣，他們成為了受LiteLLM供應(yīng)鏈攻擊影響的數(shù)千家公司之一。專家指出，黑客不再僅僅是繞過安全工具，而是直接對其發(fā)起攻擊。他們知道這些產(chǎn)品根植極深、備受信賴且通常擁有極高權(quán)限，這使其成為數(shù)據(jù)竊取和下游傳播的絕佳突破口。

Q&AQ1：Checkmarx遭遇了什么網(wǎng)絡(luò)攻擊？

A：Checkmarx遭到了一起供應(yīng)鏈攻擊，黑客通過入侵其開源工具獲取了GitHub存儲庫的訪問權(quán)限，導(dǎo)致源代碼、API密鑰、數(shù)據(jù)庫憑證等敏感數(shù)據(jù)可能被勒索組織Lapsus$竊取并泄露。

Q2：黑客是如何入侵Checkmarx及其他開發(fā)者工具的？

A：網(wǎng)絡(luò)犯罪團(tuán)伙TeamPCP首先入侵了開源漏洞掃描器Trivy并竊取了大量憑據(jù)，隨后利用這些權(quán)限入侵了Checkmarx的KICS、LiteLLM和Bitwarden等其他重要工具，并向其中注入了用于竊取數(shù)據(jù)的惡意軟件。

Q3：為什么黑客要專門針對安全掃描器和密碼管理器等工具？

A：因?yàn)檫@些安全工具深度嵌入在開發(fā)者的工作環(huán)境中，備受信任且通常擁有極高的系統(tǒng)權(quán)限。攻破它們不僅能竊取供應(yīng)商的數(shù)據(jù)，還能順藤摸瓜獲取大量云憑據(jù)、Token以及下游企業(yè)環(huán)境的控制權(quán)。