根据ReversingLabs的一份报告,开源软件和第三方商业软件中普遍存在的漏洞,以及专门针对人工智能和加密货币开发流程的恶意攻击活动,正推动着软件供应链攻击手段日益复杂精密。
根据ReversingLabs的数据,开源软件在 2024 年仍是供应链风险的一个关键因素。例如,与 2023 年相比,通过公开可访问的开源软件包泄露开发机密的事件增加了 12%。即使是在最广泛使用的开源软件包中,严重且可被利用的软件漏洞依然存在。对 30 个开源软件包进行的扫描发现,这些软件包在三大主流开源软件包管理器上的总下载量超过 6.5 亿次,平均每个软件包存在 6 个严重级漏洞和 33 个高危级漏洞。
但开源软件只是软件供应链风险的来源之一。ReversingLabs对二十多个广泛使用的商业软件二进制文件进行了扫描,其中包括商业和开源操作系统、密码管理器、网络浏览器以及虚拟专用网络(VPN)软件,结果发现第三方商业二进制文件中潜藏着软件风险的迹象。
许多被扫描的软件包由于发现了暴露的机密信息、存在正被利用的软件漏洞、可能存在代码篡改的迹象以及应用程序加固措施不足等问题,安全评级未达标。
ReversingLabs首席执行官Mario Vuksan表示:“2025 年的报告凸显了软件供应商及其企业客户所面临的挑战。首先是攻击者的手段越来越复杂,而且他们愿意花数年时间来策划和实施攻击。其次是攻击范围从开源软件扩展到了商业软件。这进一步突显了对我们开发和部署的软件建立更好管控的必要性。随着人工智能在整个软件供应链中的兴起,这一点尤为重要。”
Gartner强调了这种关注的必要性,并表示 “软件供应链的安全现在与软件本身的安全同样重要”。
第三方商业软件受到攻击
虽然关于软件供应链安全的讨论大多集中在开源软件包上,但最突出的风险却存在于闭源的商业软件中。为了强调这一问题,ReversingLabs扫描了来自六家知名供应商的 20 个不同版本的 VPN 客户端,发现了一些令人担忧的趋势,包括:
在这 20 个 VPN 软件包中,有 7 个包含一个或多个需要打补丁修复且 / 或已被利用的软件漏洞。
在扫描的 20 个 VPN 软件包中,有 4 个包含暴露的开发者机密信息。
尽管最突出的风险存在于第三方商业软件中,但开源软件模块和代码库在 2024 年仍然占软件供应链风险的绝大部分。ReversingLabs发现,在广泛使用的开源模块中潜藏着严重的、可被利用的软件漏洞、配置错误以及其他问题,这些都构成了重大风险。
开源软件风险的其他例子包括:
1.猖獗的 “代码腐烂”:对流行的 npm、PyPI 和 RubyGems 软件包的分析发现,许多广泛使用的开源模块包含陈旧过时的开源和第三方软件模块。
2.ReversingLabs对一个每周下载量接近 3000 次且有 16 个依赖应用程序的 npm 软件包进行扫描后发现:
(1)超过 7 年没有代码更新。
(2)存在 164 个不同的代码漏洞,其中 43 个被评为 “严重” 级别,81 个被评为 “高危” 级别。
(3)有 7 个软件漏洞已知已被恶意软件主动利用。
加密货币应用遭受攻击增多 软件生产商受到警示
2024 年,针对加密货币交易所、钱包和终端用户应用程序的复杂软件供应链攻击接连不断。这些针对加密货币的攻击者采用了复杂且精细的技术手段,以获取对敏感加密货币应用程序和基础设施的访问权限。该报告概述了对一个成熟的 Python 软件包 aiocpa 中检测到的恶意代码的研究情况。
该报告还记录了一系列针对人工智能和大型语言模型机器学习应用程序开发者所使用的开发基础设施和代码的恶意软件供应链攻击活动。
研究人员发现了一种被称为 “nullifAI” 的恶意技术,即恶意代码被植入到 Pickle 序列化文件中,同时规避了 Hugging Face 开源平台内置的防护措施,而 Hugging Face 是人工智能和机器学习开发者的主要资源平台。
发表评论
您还未登录,请先登录。
登录