2024中国软件供应链安全分析报告-2024.08-56正式版.ppt

一、概述当前，软件供应链安全依然是网络安全中备受关注的方向，基于自研产品的技术能力和第一手实测数据，奇安信代码安全实验室继续推出《2024中国软件供应链安全分析报告》，即本系列年度分析报告的第四期。软件由自主开发的代码与开源代码等第三方代码集成后，形成混源代码，然后通过编译、连接等构建过程形成软件产品，交付给用户使用。在这一软件供应链模型中，每个阶段中的代码或工件都可能引入安全问题，从而导致最终软件供应链安全事件的爆发。本期报告仍以此模型为基础，分析各阶段的代码安全问题对软件供应链安全性的潜在威胁，分析内容分别在后续的国内企业自主开发的源代码安全状况、开源软件生态发展与安全状况、国内企业软件开发中开源软件应用状况、典型软件供应链安全风险实例分析等章节中呈现。在此基础上，本报告还总结了趋势和变化。与往年报告相比，本期报告在开源软件生态发展与安全部分新增了对NPM生态中恶意开源软件分析的内容；在典型软件供应链安全风险实例部分，通过实例再次验证了因软件供应链的复杂性，“外来”组件的“老漏洞”发挥“0day漏洞”攻击作用的状况。感兴趣的读者可重点关注。1、软件供应链安全攻击手段依然花样百出过去的一年中，软件供应链安全攻击事件没有丝毫减少的趋势，1

攻击手段依然花样百出。2023年10月，安全人员分析发现了一种新型供应链攻击。整个9月，某黑客组织都在使用域名仿冒（Typosquatting）和星标劫持（Starjacking）技术向开源包管理器PyPi植入一系列恶意包，并引诱开发人员使用，而这些恶意包与Telegram、AWS和阿里云等热门通信和电子商务平台所使用的流行软件包高度对应，被认为是故意攻击这些平台的特定用户。攻击者可以攻陷平台用户设备，窃取金融和个人信息、登录凭据等敏感数据，可能影响数百万人。2023年12月，AI安全公司LassoSecurity的研究人员，在GitHub和HuggingFace平台上发现了1500多个不安全的API访问令牌，可用来访问772个组织机构的仓库，包括谷歌、微软、VMware等公司。其中部分令牌可帮助攻击者获得Meta公司Bloom、Meta-Liama、Pythia等大语言模型（LLM）仓库的完全读写权限，攻击者可利用该漏洞实施LLM训练数据投毒、模型和数据集窃取等恶意行为，从而将使用这些仓库把LLM能力集成到应用和运营中的组织置于供应链风险中，危及数百万下游用户的安全。2024年2月，Cycode研究团队披露了谷歌重要的开源构建和测试工具Bazel的一个供应链安全漏洞的详细信息。Bazel所依赖的CI\CD平台GitHubActions的工作流程中存在命令注入漏洞，可导致攻击者将恶意代码植入Bazel代码库、创建后门并影响Bazel用户的生产环境。该漏洞可能影响数百万个依赖于Bazel的项目和平台，包括Kubernetes、Angular、Uber、LinkedIn、Dababricks、Dropbox、Nvidia2

和谷歌自身等。2024年3月初，安全研究人员发现，机器人平台Top.ggDiscord托管在GitHub上的源代码遭受到大规模严重供应链投毒攻击，该平台拥有超17万成员。分析发现，攻击者劫持了Top.gg的GitHub账户，上传了至少14个伪造的恶意Python流行软件包，并通过这些恶意软件窃取用户Chrome、Edge等浏览器中的敏感数据，包括浏览历史记录、信用卡详细信息等，并通过出售信息实现盈利。攻击者还试图窃取Telegram会话数据以侵犯用户隐私。这些攻击同时也影响到了大量与平台相关的开发人员。2024年3月底，某开发人员在调查SSH性能问题时发现了涉及XZUtil?工具库的供应链攻击，溯源发现SSH使用的上游liblzma库被植入了恶意后门漏洞（CVE-2024-3094），满足一定条件时会解密流量里的C2命令并执行，从而使攻击者能够破坏SSHD身份验证并远程获得对整个系统的未经授权访问。XZ是一种由Tukaani项目开发的高压缩比数据压缩格式，几乎应用于每个Linux发行版中，包括社区项目和商业产品发行版，liblzma是一个用于处理XZ压缩格式的开源软件库。庆幸的是，该漏洞主要影响的XZ5.6.0和5.6.1版本尚未被Linux发行版广泛集成，而且大部分是在预发行版本中。2024年5月，攻击者通过与英国国防部核心网络链接的一个外部系统，即由英国国防部的一家提供薪资处理服务的外部承包商维护的薪资处理系统，访问了部分军队支付网络，造成严重的信息泄露。据