软体供应链攻击事故日益频繁,上周一共发生了两起,先是传出JavaScript软体开发套件Solana Web3.js遭骇,开发人员若是不慎部署有问题的套件,开发环境就会被植入窃资软体,到了周末,又有AI模型PyPI套件Ultralytics遇窃的情形。
值得留意的是,虽然两起事故开发团队都迅速做出处置,撤下有问题的恶意套件,但Ultralytics后续还是有新的恶意套件出现,这起资安事故的进展相当值得留意。
【攻击与威胁】
软体供应链资安事故频传,上周有JavaScript软体开发套件Solana Web3.js遭骇的情况,导致有部分开发人员的加密货币资产遭窃,如今又有类似的资安事故出现。
12月5日电脑工程博士Furkan Gözükara提出警告,拥有数百万用户的PyPI套件Ultralytics被入侵,导致用户的环境被用于挖掘加密货币,由于此套件被用于训练名为You Only Look Once(YOLO)的模型,因此已有许多用户的Google Colab帐号,因为出现了滥用的迹象而被停用。
Ultralytics创始人暨执行长Glenn Jocher证实此事,并表示他们已提供8.3.43版因应。该公司也在察觉此事后,随即将有问题的版本下架,并表示他们的团队正进行完整的资安稽核,以及导入进行防护措施,来避免类似事故再度发生。值得留意的是,这起事故似乎尚未结束,12月8日,有使用者发现新的恶意版本8.3.45、8.3.46版上架到PyPI,若是不慎安装,开发环境会被植入挖矿软体。
11月21日松下电器旗下的SaaS软体服务供应商Blue Yonder(原JDA Software)传出遭到勒索软体攻击,导致客户营运受到波及的情况,有骇客组织表明是他们所为。
这起资安事故相当引人注目,原因在于Blue Yonder提供各种供应链与商业解决方案,涵盖供应链管理、退货管理、人力资源管理、零售业目录管理、仓储管理等领域,而且该公司客户有不少是知名企业。事隔不到一周,已有星巴克、英国连锁超市Sainsbury与Morrisons证实受到波及,营运部分流程被迫改以手动处理因应。
根据资安新闻网站Bleeping Computer的报导,勒索软体骇客组织Termite声称这起事故是他们所为,并窃走了680 GB内部资料,其中包含电子邮件清单1.6万笔,以及逾20万份保险报告文件。但对于骇客的说法,Blue Yonder并未出面进一步发表公开说明。
根据资安新闻网站HackRead本月5日报导,勒索软体骇客Black Basta近日声称对大型英国电信业者BT Group下手,攻击其视讯会议业务分公司BT Conferencing,导致该公司部分主机暂停运作,骇客握有500 GB内部资料。对此,BT Group证实遭到攻击,但强调受害范围仅限于会议平台,核心服务不受影响。
为了证明成功入侵BT Group,骇客公布部分窃得档案,以及档案资料夹列表的萤幕截图,并指出这批档案包含财务资料、内部资料、使用者资料及个人文件、保密协议(NDA)与机密资料,并扬言若是BT Group不愿支付赎金,他们将公开所有窃得的资料。不过,究竟骇客索讨多少赎金?该篇报导并未提及。
其他漏洞与修补
◆生成式AI对资安产业带来重大的影响,但是AI发展对资安产业的发展而言,不仅是危机却也是转机,更直接迫使资安业者必须积极转型,以因应AI世代的来临。
Fortinet全球发言人暨执行副总裁Joe Sarno日前访台接受媒体访问时表示,随著数位化脚步的加速,网路安全威胁日益复杂多样,Joe Sarno强调,人工智慧(AI)技术已成为资安领域的核心驱动力,未来也将协助企业更有效应对新兴威胁,该公司并推动全球资安教育与平台整合策略,致力于打造更安全的数位未来。
其他资安产业动态