周末一起供应链攻击事件的揭露,震撼了整个资安圈,也让企业用户忙于修补因应,有攻击者针对XZ Utils资料压缩程式库植入后门,而这个后门将可让攻击者绕过SSHD的身分认证机制,且相当难以察觉。
幸好有研究人员因为调查一个SSH登入时存在500ms延迟异常而发现,但回顾这个提交恶意的GitHub帐号,竟是在2021年就注册,并从2022年2月就开始试探性的对XZ程式库提交Commit。
【攻击与威胁】
,表示,他尝试用一张提表整理入侵的脉络,当中显示一名代号为Jia Tan(JiaT75)的GitHub帐号用户,是在2022年2月6日针对XZ程式库提交第一次Commit,之后又陆续提交几次测试档,然后在2024年2月16日、3月9日悄悄将恶意程式加入,其中bad-3-corrupt_lzma2.xz与good-large_compressed.lzma这两个看起来无害的测试用binary,更是会在特定条件下解析出恶意程式。
由于攻击者能在短时间内发送数十次的密码重设请求,这也代表,苹果iCloud帐户的密码重设机制,可能存在一些问题,像是没有通知发送频率的限制。
近日资安公司Human Security旗下Satori资安威胁情报团队指出,Google Play商店上有17款伪装VPN应用程式涉嫌搭载恶意SDK软体,可能将用户装置转变为网路犯罪工具。
研究人员指出,这些伪装VPN App看似提供免费VPN服务,但却藏有一个名为「PROXYLIB」的恶意SDK软体工具。这个工具可以在用户毫不知情下,暗中安装于用户手机装置上,将其变成网路犯罪分子或骇客的「网路代理伺服器」,也就是利用你的装置来发动特定恶意攻击活动。研究人员共发现28款App都藏有PROXYLIB SDK,在他们通报后,Google已经将这些App下架。
【资安防御措施】