2022年软件供应链安全攻击事件有哪些？

软件供应链安全攻击事件保持持续高发。

2021 年 8 月，台湾芯片设计厂商 Realtek 称，其 WiFi 模块的三 款开发包(SDK)中存在 4 个严重漏洞。攻击者可利用这些漏洞攻陷目 标设备并以最高权限执行任意代码。这些 SDK 用于至少 65 家厂商制 造的近 200 款物联网设备中。

2021 年 10 月，攻击者劫持了 NPM 包 ua-parser-js 作者的账户 约 4 小时，意图安装恶意软件。ua-parser-js 每周下载量超过 700 万 次，广泛应用于 Facebook、苹果、亚马逊、微软、IBM 等硅谷巨头企 业中。

2021 年 11 月，热门 NPM 包 coa 和 rc 连续遭劫持，并被植入恶 意代码，影响全球 React 管道。coa 库每周下载量约 900 万，用于 GitHub 上近 500 万个开源库中，rc 库每周下载量达 1400 万。

2021 年 12 月，Apache Log4j2 曝出 Log4Shell 漏洞(CVE-2021- 44228)，Apache Log4j2 是 Java 应用最广泛的开源日志组件，广泛 应用于政府、企业和公共服务机构的平台、应用和业务系统中，该漏 洞覆盖范围广而且利用门槛低，对大量系统和机构造成了严重影响。

2022 年 3 月，俄乌冲突中，NPM 开源包 Node-ipc 的作者 RIAEvangelist 作为反战人士，在代码仓库中进行了“供应链投毒”， 添加的恶意 js 文件能够在包使用者的桌面创建反战标语。Node-ipc 使用非常广泛，每周下载量超过 100 万次。

2022 年 4 月，以色列安全公司发现高通和联发科芯片的音频解 码器存在三个漏洞（CVSS 评分为 9.8、7.8 和 5.5），来源于 11 年前 苹果公司开发的开源无损音频编解码器 Apple Lossless。利用这些漏洞进行攻击，可获取受影响移动设备媒体、音频会话的访问权限及 摄像头数据流等，漏洞影响范围包括数百万安卓设备。

2022 年 5 月，安全研究人员在 NPM 注册表中发现了一些恶意软 件包，与大多数恶意软件相比，其危险性更大，攻击者可以通过后门 完全控制被感染的机器。分析人员称，这是一次依赖混淆攻击，其目 标非常明确，并且掌握了非常机密的内部信息。德国的著名媒体、物 流和工业企业等机构受到攻击。