聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
安全研究人员报告称,上周eScan杀毒软件用户因黑客入侵官方更新服务器而感染恶意软件。
这起针对eScan软件供应链的攻击事件于1月29日曝光,网络安全公司Morphisec发布威胁公告提醒恶意更新程序篡改篡改用户系统。公告指出:“恶意更新通过eScan合法的更新基础设施进行分发,导致全球企业和消费者终端设备被部署多阶段恶意软件。”
安全研究人员表示,恶意更新会修改用户设备设置,使其与eScan更新服务器切断联系,同时杀毒软件的正常功能也被篡改。受影响的用户会接收到名为“Reload.exe”的恶意文件,该文件旨在启动多阶段感染链。它会修改HOSTS文件以阻断自动更新功能,通过计划任务实现持久化驻留,并下载更多恶意载荷。
研究人员强调称:“受感染系统因此无法实现自动修复。受影响机构和个人需主动联系eScan获取手动更新补丁。”研究人员表示已于1月21日(在其客户设备上检测到恶意行为次日)向eScan所属公司MicroWorld Technologies报告此事。eScan回应称在1月20日发现基础设施遭未授权访问,并立即隔离了受影响的更新服务器,这些服务器保持离线状态超过八小时。为解决该问题,eScan发布了专用修复工具,用户可通过联系该公司技术支持团队获取。该工具旨在清除感染、回滚恶意系统修改并恢复eScan正常功能。
eScan淡化事件影响并质疑报告准确性
尽管攻击事件及后续处理看似清晰,但eScan对事件公开披露的反应却截然不同。
事实表明,这家印度杀毒软件提供商对Morphisec关于事件演变过程的评估以及"供应链攻击"的定性均表示不满。不过,eScan确实确认了其基础设施遭未授权访问的情况。该公司在1月22日向客户发布的安全公告中披露称,事件影响了一台区域性更新服务器。
该公司在公告中提到,“由于我们一台区域性更新服务器的配置遭未授权访问,导致错误文件(补丁配置二进制文件/损坏更新)被置入更新分发路径。该文件于2026年1月20日的有限时段内,被分发至从受影响服务器集群下载更新的客户。”
公告中关于恶意更新触发系统行为的描述与Morphisec提交的报告存在重叠之处。eScan同时指出该事件对企业客户造成了中高等程度影响,这与Morphisec的评估相符。
尽管如此,eScan对Morphisec公司的事件报道表示不满,认为其报告内容存在不准确之处。据称该杀毒软件公司正就该事件与法律顾问进行磋商。eScan 尚未就此事件置评。
开源卫士试用地址:https://sast.qianxin.com/#/login
代码卫士试用地址:https://codesafe.qianxin.com
推荐阅读
热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
vLLM 高危漏洞可导致RCE
开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
开发人员注意:VSCode 应用市场易被滥用于托管恶意扩展
GitHub Copilot 严重漏洞可导致私有仓库源代码被盗
受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露
捷豹路虎数据遭泄露生产仍未恢复,幕后黑手或与 Salesforce-Salesloft 供应链攻击有关
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
黑客发动史上规模最大的 NPM 供应链攻击,影响全球10%的云环境
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
AI供应链易遭“模型命名空间复用”攻击
Frostbyte10:威胁全球供应链的10个严重漏洞
PyPI拦截1800个过期域名邮件,防御供应链攻击
PyPI恶意包利用依赖引入恶意行为,发动软件供应链攻击
黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员
700多个恶意误植域名库盯上RubyGems 仓库
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
固件开发和更新缺陷导致漏洞多年难修,供应链安全深受其害
NPM仓库被植入67个恶意包传播恶意软件
在线阅读版:《2025中国软件供应链安全分析报告》全文
NPM软件供应链攻击传播恶意软件
隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏
NPM恶意包利用Unicode 隐写术躲避检测
Aikido在npm热门包 rand-user-agent 中发现恶意代码
密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥,触发供应链攻击
原文链接
https://www.securityweek.com/escan-antivirus-delivers-malware-in-supply-chain-attack/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
)
