供应链攻击波及Checkmarx与Bitwarden 安全厂商成黑客新目标
2023年3月23日发生的Trivy供应链攻击事件持续发酵,安全公司Checkmarx与Bitwarden均受影响。Checkmarx于周一表示,现有证据显示,泄露数据源自其GitHub代码库,且访问权限系通过此次初始供应链攻击获得。该公司未披露具体泄露数据类型。
另一安全公司Socket指出,Bitwarden同样受此次攻击波及。Socket通过分析攻击载荷发现,其使用的C2服务器和核心基础设施与Checkmarx所遇恶意软件一致,从而确认两起事件关联。
此次攻击由名为TeamPCP的黑客组织实施。该组织属于“访问经纪人”(access-broker)类黑客,以窃取并转售受害方凭证为主要手段。其成功关键在于攻击具有高权限访问权限的工具,从而扩大攻击面。
在Checkmarx案例中,TeamPCP将窃取的访问凭证出售给名为Lapsu$的勒索软件团伙。该团伙主要由青少年组成,以成功攻破大型企业及攻击后的挑衅性言论闻名。
事件凸显供应链攻击的连锁效应。随着Checkmarx与Bitwarden接连中招,其客户及合作伙伴面临新攻击风险,可能引发更多下游渗透。Socket首席执行官Feross Aboukhadijeh表示,安全工具因贴近敏感数据且广泛分布于互联网,成为攻击者重点目标。
“你将在这些妥协事件中看到相同线索,”Aboukhadijeh在邮件中指出,“攻击者正将安全工具视为攻击目标和传播机制。他们攻击本应保护供应链的产品,再利用这些工具窃取凭证、转向下一个目标。”
编辑点评
此次供应链攻击事件具有典型性和警示意义。攻击者不再满足于直接攻击终端用户,而是将目光投向安全工具本身——这些工具往往拥有系统内最高权限,一旦被攻破,将成为通往整个企业网络的“金钥匙”。TeamPCP作为访问经纪人,通过出售凭证实现攻击的“专业化分工”,而Lapsu$则利用这些凭证发起勒索攻击,形成完整的攻击产业链。这种模式表明,网络攻击正日益系统化、商业化。对全球企业而言,安全工具的供应链安全已成为新的薄弱环节,必须重新评估其第三方工具的安全审计机制。未来,各国监管机构或将进一步加强对软件供应链透明度的要求,推动建立更严格的源代码审计和身份验证标准。此次事件也提醒所有组织:安全防护必须“向内看”,确保自身所依赖的安全产品不会成为“后门”。