應(yīng)用安全提供商Checkmarx發(fā)現(xiàn)了第一起針對銀行業(yè)的開源軟件供應(yīng)鏈攻擊。

在最近的一份報告中，Checkmarx的研究人員分析了兩種不同的、復(fù)雜的供應(yīng)鏈攻擊，這些攻擊依賴于開源工具集。兩次襲擊的目標都是銀行。

第一次攻擊始于2023年2月，當時一名威脅行為者向全球最大的軟件注冊表NPM上傳了一個包。

該軟件包包含一個有效載荷，旨在鎖定目標銀行網(wǎng)頁上的特定登錄表單元素，秘密攔截登錄數(shù)據(jù)，然后將其傳輸?shù)竭h程位置。

從2023年4月初觀察到的第二次攻擊的前提是類似的，威脅行為者上傳軟件包到NPM。這些軟件包包含一個預(yù)安裝腳本，在安裝時執(zhí)行其惡意目標。

首先，腳本識別受害者的操作系統(tǒng)(Windows、Linux或Darwin/MacOS)。然后，根據(jù)結(jié)果，腳本對NPM包中的相關(guān)加密文件進行解碼。

接下來，攻擊者使用這些文件將惡意二進制文件下載到受害者的系統(tǒng)中。為了避免檢測并繞過傳統(tǒng)的拒絕列表方法，攻擊者在Microsoft Azure CDN上創(chuàng)建了一個包含目標銀行名稱的子域。

他們還利用了Havoc框架，這是一種先進的攻擊后命令和控制框架，由自稱為惡意軟件作者的Twitter用戶精心制作。

報告稱:“Havoc能夠規(guī)避Windows Defender等標準防御措施，這使得它成為威脅行為者的首選，取代了Cobalt Strike、silver和Brute Ratel等合法工具包。”

Checkmarx還指出，這些軟件包背后的貢獻者鏈接到一個冒充目標銀行員工的個人LinkedIn個人資料頁面。

安全研究人員評論說:“我們最初的假設(shè)是，這可能是銀行的一次滲透測試。然而，我們在聯(lián)系該機構(gòu)要求澄清后收到的回復(fù)卻描繪了一幅不同的畫面，該銀行并不知道這一活動?！?/strong>