软件供应链安全攻击手段及企业现状如何？

奇安信代码安全实验室通过数据分析发现，与以往历年相比，2023 年，国内企业自主开发软件的源代码高危缺陷密度明显下降，并且因使用开源软件而引入安全风险的状况有所改善。尽

1、软件供应链安全攻击手段依然花样百出

过去的一年中，软件供应链安全攻击事件没有丝毫减少的趋势，攻击手段依然花样百出。 2023 年 10 月，安全人员分析发现了一种新型供应链攻击。整个9 月，某黑客组织都在使用域名仿冒（Typosquatting）和星标劫持（Starjacking）技术向开源包管理器 PyPi 植入一系列恶意包，并引诱开发人员使用，而这些恶意包与 Telegram、AWS 和阿里云等热门通信和电子商务平台所使用的流行软件包高度对应，被认为是故意攻击这些平台的特定用户。攻击者可以攻陷平台用户设备，窃取金融和个人信息、登录凭据等敏感数据，可能影响数百万人。

2023 年 12 月，AI 安全公司 Lasso Security 的研究人员，在GitHub和 Hugging Face 平台上发现了 1500 多个不安全的API 访问令牌，可用来访问 772 个组织机构的仓库，包括谷歌、微软、VMware 等公司。其中部分令牌可帮助攻击者获得 Meta 公司Bloom、Meta-Liama、Pythia 等大语言模型（LLM）仓库的完全读写权限，攻击者可利用该漏洞实施 LLM 训练数据投毒、模型和数据集窃取等恶意行为，从而将使用这些仓库把 LLM 能力集成到应用和运营中的组织置于供应链风险中，危及数百万下游用户的安全。 2024 年 2 月，Cycode 研究团队披露了谷歌重要的开源构建和测试工具 Bazel 的一个供应链安全漏洞的详细信息。Bazel 所依赖的CI\CD 平台 GitHub Actions 的工作流程中存在命令注入漏洞，可导致攻击者将恶意代码植入 Bazel 代码库、创建后门并影响Bazel 用户的生产环境。该漏洞可能影响数百万个依赖于Bazel 的项目和平台，包括 Kubernetes、Angular、Uber、LinkedIn、Dababricks、Dropbox、Nvidia和谷歌自身等。

2024 年 3 月初，安全研究人员发现，机器人平台Top.gg Discord托管在 GitHub 上的源代码遭受到大规模严重供应链投毒攻击，该平台拥有超 17 万成员。分析发现，攻击者劫持了Top.gg 的GitHub账户，上传了至少 14 个伪造的恶意 Python 流行软件包，并通过这些恶意软件窃取用户 Chrome、Edge 等浏览器中的敏感数据，包括浏览历史记录、信用卡详细信息等，并通过出售信息实现盈利。攻击者还试图窃取 Telegram 会话数据以侵犯用户隐私。这些攻击同时也影响到了大量与平台相关的开发人员。 2024 年 3 月底，某开发人员在调查SSH 性能问题时发现了涉及XZ Utilѕ工具库的供应链攻击，溯源发现SSH 使用的上游liblzma库被植入了恶意后门漏洞（CVE-2024-3094），满足一定条件时会解密流量里的 C2 命令并执行，从而使攻击者能够破坏SSHD 身份验证并远程获得对整个系统的未经授权访问。XZ 是一种由Tukaani 项目开发的高压缩比数据压缩格式，几乎应用于每个Linux 发行版中，包括社区项目和商业产品发行版，liblzma 是一个用于处理XZ 压缩格式的开源软件库。庆幸的是，该漏洞主要影响的 XZ 5.6.0 和5.6.1 版本尚未被Linux 发行版广泛集成，而且大部分是在预发行版本中。

2024 年 5 月，攻击者通过与英国国防部核心网络链接的一个外部系统，即由英国国防部的一家提供薪资处理服务的外部承包商维护的薪资处理系统，访问了部分军队支付网络，造成严重的信息泄露。据统计，攻击者访问了超过 22.5 万名英国陆军、海军和皇家空军现役军人、退役军人和预备役军人的姓名、银行账号详情等个人信息。第三方承包商未能充分的保护系统是这次事件的主要诱因，而这一事件是在不到一年的时间内发生的第二起因外部承包商而导致的英国军队数据遭泄露事件。 OpenSSH 可以在 CS 架构中提供网络安全信道，被众多企业用于远程服务器管理和数据安全通信。2024 年7 月初，网络安全公司Qualys 发 现 ， OpenSSH 服 务 器 进 程存在“regreSSHion”漏洞（CVE-2024-6387），攻击者可利用其以root 权限在基于glibc的Linux 系统上实现未认证的远程代码执行，从而实施系统完全接管、恶意程序安装和后门创建等攻击行为，严重程度堪比Log4Shell。具不完全统计，互联网上有 1400 多万台易受攻击的OpenSSH 实例，仅Qualys 公司自身的客户中就有约 70 万个暴露在互联网上的系统可能易受攻击。

2、国内企业软件供应链安全状况有所改善

1）国内企业自主开发软件的源代码高危缺陷密度明显下降通过对 2023 年国内企业自主开发源代码的分析发现，虽然整体缺陷密度达到 12.76 个/千行，高于以往各年，但高危缺陷的密度为 5 0.52 个/千行，比之前三年有明显的下降；此外，NULL 引用类缺陷的检出率为 25.7%，较往年也有较大降低。上述趋势的出现，应该在很大程度上得益于以下措施的采取：软件开发过程中，研发企业对重点缺陷逐渐重视，针对重点问题的安全编码规范进一步普及，并且代码审计工具的使用持续推广。

2）国内企业因使用开源软件而引入安全风险的状况有所改善2023 年，奇安信代码安全实验室对1763 个国内企业软件项目中使用开源软件的情况进行分析发现，平均每个项目使用了166 个开源软件，数量再创新高。但另一方面，平均每个项目存在83 个已知开源软件漏洞，含有容易利用的开源软件漏洞的项目占比为68.1%，以上两项指标与去年相比降幅较大；此外，存在已知开源软件漏洞、高危漏洞、超危漏洞的项目占比分别为 88.0%、81.0%和71.9%，与去年相比均有所下降。其他方面，如项目中存在古老开源软件漏洞、老旧开源软件版本使用、同一开源软件各版本使用混乱等方面的状况基本与之前历年持平。总体而言，国内企业使用开源软件的安全状况有所好转。 虽然从趋势来看，上述的软件供应链安全问题有一定程度的缓解，但另一方面，这些指标数据仍处于高位，软件供应链的安全问题并没有得到根本性的改变。值得高兴的是，越来越多的机构和企业开始关注并实施软件供应链的安全，一些机构和企业基于规范的流程和实践，落地了相应的解决方案和检测平台。但就目前的形势而言，这些经验、方法和工具还需要进一步的持续完善、推广和应用。