近日，網絡安全公司Checkmarx首次披露了一種專門攻擊黑客和網絡安全研究人員的供應鏈攻擊。據報道，這場長達一年的攻擊活動通過開源軟件的“木馬化”版本來竊取黑帽黑客的敏感信息，同時還針對善意的安全研究人員，令業內震驚。

該攻擊活動由Datadog安全實驗室進一步證實。攻擊者主要通過以下兩種方式感染目標設備：

• 木馬化開源軟件：攻擊者在GitHub和NPM平臺上分發被植入后門的開源軟件包。這些包偽裝成合法工具，實際上卻會竊取設備中的敏感信息。
• 精準釣魚郵件：攻擊者針對發布安全學術論文的研究人員，尤其是使用arXiv平臺的用戶，發送精心設計的釣魚郵件。

這些惡意軟件不僅精密且隱蔽，甚至能夠長期潛伏，伺機竊取信息。

攻擊手法：多重感染路徑與專業后門

攻擊活動由一個被命名為“MUT-1244”的威脅組織實施，“MUT”代表“神秘未知威脅”（Mysterious Unattributed Threat）。以下是其具體攻擊方式：

一、木馬化的軟件包

攻擊的核心工具之一是@0xengine/xmlrpc，這是一個在NPM平臺上流傳已久的JavaScript庫。起初，它以提供Node.js環境下的XML-RPC協議實現為幌子，逐步更新為惡意版本。僅在上線的頭12個月內，該包進行了16次更新，制造出“可信賴”的假象。

另一個關鍵組件是GitHub上的yawpp工具，這款工具偽裝為WordPress憑證驗證和內容發布工具。雖然yawpp本身并無惡意代碼，但由于依賴@0xengine/xmlrpc，其用戶在安裝yawpp時會被自動感染。

二、后門觸發機制

惡意軟件的后門功能高度隱蔽，僅在滿足特定條件時才會激活。例如：

• 用戶在運行帶有“--targets”參數的命令時觸發后門。
• 使用yawpp工具的核心腳本（checker.js或poster.js）時自動激活。

三、持久性與信息竊取

惡意軟件通過偽裝為合法的會話認證服務（Xsession.auth）實現持久化運行。每隔12小時，Xsession.auth會系統性地收集設備上的敏感信息，包括：

• SSH密鑰及配置文件
• 系統命令歷史記錄
• 環境變量和網絡信息

這些數據隨后被上傳至Dropbox或file.io賬戶供攻擊者使用。此外，惡意軟件還在部分設備上安裝了加密貨幣挖礦程序。

四、精準釣魚與社會工程

MUT-1244的另一大傳播手段是利用釣魚郵件。攻擊者從arXiv平臺抓取了2758個電子郵件地址，向受害者發送偽裝成“CPU微代碼更新”的郵件，聲稱能顯著提升計算性能。這些郵件在10月5日至21日之間發送，目標為高性能計算領域的研究人員。

為了增加可信度，惡意軟件甚至被嵌入到一些合法資源中，例如Feedly Threat Intelligence和Vulnmon。這些網站將惡意包列入漏洞概念驗證的代碼庫中，使其更加隱蔽。

目標與動機令人疑惑

MUT-1244的攻擊目標是多樣化的，既包括竊取敏感信息，也涉及加密貨幣挖礦。截至目前，攻擊者已竊取約39萬條WordPress網站的管理憑證，受感染的設備上至少有68臺運行了挖礦程序。然而，這種復雜的攻擊行為與目標群體選擇之間的矛盾引發了諸多疑問：如果攻擊者的主要目的是挖礦，為何選擇網絡安全研究人員？如果是竊取信息，為何加入容易被檢測的挖礦活動？

如何防范：檢查指標與安全建議

針對這次攻擊，Checkmarx和Datadog發布了一些檢測方法，幫助潛在受害者確認自己是否中招。安全人員應重點檢查以下方面：

• 檢查系統中是否存在偽裝為Xsession.auth的進程。
• 確認是否安裝了@0xengine/xmlrpc或yawpp等被標記為惡意的軟件包。
• 留意設備是否異常運行挖礦程序。

此外，安全專家建議：

• 謹慎使用開源軟件庫中的代碼包，尤其是未知來源的項目。
• 定期更新安全工具，掃描潛在威脅。
• 在郵件中接收到CPU更新或類似信息時，務必核實來源。

結語：網絡安全人員需提高警惕

MUT-1244攻擊充分展示了供應鏈攻擊的隱蔽性、復雜性與破壞力，甚至網絡安全專業人員都難以幸免。通過偽裝合法工具并利用多渠道傳播，攻擊者成功侵入了網絡安全人員的設備，甚至竊取了同類攻擊者的數據。這一事件為行業敲響警鐘，凸顯了開源環境中潛在的安全隱患。

在網絡安全領域，信任與漏洞總是如影隨形。隨著攻擊技術的不斷進步，研究人員和開發者需要加強警惕，確保自己的工具鏈和設備免受威脅。在面對像MUT-1244這樣復雜的攻擊時，協同防御與信息共享是抵御未來威脅的關鍵。