Red Hat 官方 NPM 遭供应链攻击,数十个软件包被植入后门
Red Hat 安全团队发现数十个通过官方 NPM 仓库分发的软件包被植入恶意代码。这是针对企业软件供应链的最新攻击。这些后门可能允许攻击者远程执行代码或窃取敏感信息。
NPM 是 Node.js 生态系统的包管理器,被数百万开发者使用。过去几年,NPM 仓库多次成为供应链攻击的目标。攻击者通常通过发布恶意版本的流行软件包或劫持维护者账户来实现渗透。
Red Hat 确认受影响的软件包已经下载数千次。这次攻击的特殊之处在于它针对的是 Red Hat 的企业用户,而不是普通的开源开发者。攻击者可能预计到企业用户对红帽生态系统的信任。
供应链攻击的危害在于其扩散效应。一个受污染的软件包可以影响数百个下游项目。Red Hat 已经紧急撤下受影响的软件包,并建议用户更新到安全版本。但清除后门可能需要大量时间和资源。
开源软件的安全性再次受到质疑。尽管开源模式有诸多优势,但维护者精力有限,难以对每个提交进行彻底审查。自动化安全扫描工具可以在一定程度上缓解问题,但无法完全替代人工审核。
企业用户需要重新审视软件供应链风险。依赖开源组件意味着间接依赖成千上万的维护者。背景调查、更新频率和维护者信誉都应该纳入采购决策。
后门代码通常隐藏在正常功能中难以发现。攻击者可能在加密货币挖矿代码或数据窃取程序外包裹看似合法的功能。这使得安全扫描工具很难检测,因为代码本身不包含明显的恶意特征。
供应链攻击呈上升趋势。2020 年的 SolarWinds 攻击影响了数千家企业,成为史上最大规模的供应链攻击之一。此后,针对开源仓库的攻击明显增多。攻击者意识到,一次成功的攻击可以影响大量目标。
企业应该采用纵深防御策略。除了依赖上游的安全更新,还需要在内部进行依赖审查和漏洞扫描。软件成分分析工具可以自动识别有已知漏洞的组件。但对零日漏洞,这些工具无能为力。
NPM 平台已经加强了安全措施,包括双重认证、依赖审查和自动漏洞警报。但攻击者仍在寻找漏洞。平台和开源社区之间的责任划分仍然模糊。这次事件可能推动更严格的发布审核流程。
应对供应链攻击需要整个行业合作。信息共享平台如 CISA 的可信 immune 系统帮助公司快速响应威胁。Red Hat 这次快速公布受影响的软件包,对其他企业用户具有借鉴意义。