随着数字化转型的深入,软硬件供应链安全已经成为全球网络安全领域最严峻的挑战之一。2025年8月,与勒索组织ShinyHunters有关联的攻击团伙GRUB1通过入侵Salesloft的Drift应用程序,成功窃取OAuth令牌,获取了与Drift连接的Salesforce实例的访问权限。攻击者声称从760家公司窃取了超过15亿条Salesforce记录,受害者包括Palo Alto Networks、Zscaler和Cloudflare等网络安全行业的领军企业。这一事件再次敲响了软硬件供应链安全的警钟。
软硬件供应链涵盖了从开发、交付到使用的整个生命周期,每个环节都存在被攻击的风险。从2015年的XcodeGhost事件到2024年的XZ Utils后门事件,再到2025年的Shai-Hulud蠕虫事件,供应链攻击的频率和影响范围都在持续扩大。本文将深入分析当前软硬件供应链安全面临的挑战、攻击模式的变化趋势以及行业的应对策略。
近年来,供应链攻击的手段不断升级,从简单的软件捆绑到精密的开发工具污染,攻击者正在寻找更高效的入侵途径。开发环节作为供应链的源头,一旦被攻破,将产生连锁反应,影响下游数以百万计的用户。
2025年9月爆发的Shai-Hulud蠕虫事件充分展示了现代供应链攻击的复杂性。这种针对npm生态系统的大规模供应链攻击以其自我复制能力迅速引起安全研究人员的关注。截至目前,已有超过500个npm包被感染,包括每周下载量达数百万次的流行包如@ctrl/tinycolor以及CrowdStrike公司的多个软件包。与之前的供应链攻击不同,Shai-Hulud蠕虫具有自我传播能力,能够自动感染下游包,形成“级联式网络入侵”,使攻击范围迅速扩大。
开发工具污染已经成为供应链攻击的主要入口之一。2025年9月,JavaScript生态系统遭遇了一次精准的供应链攻击,攻击者通过社会工程学手段获取了知名开发者Josh Junon的npm账户控制权,并在多个高频下载包中植入恶意代码,包括chalk和debug等核心基础库,这些包的周下载量总计超过20亿次。攻击者通过精心设计的钓鱼邮件,诱导开发者点击链接并提交凭据,从而获取账户控制权。
开源软件的普及也给供应链安全带来了新的挑战。2024年3月曝光的XZ Utils后门事件揭示了开源代码面临的风险,攻击者潜伏在XZ Utils项目中两年,伪装为活跃的代码贡献者,并通过社交工程学手段获得XZUtils代码仓库的直接维护权限,为最后植入后门铺平道路。这种长期的渗透策略使得后门难以被发现,直到造成实质性损害。
第三方库和依赖管理是另一个薄弱环节。2025年8月,Nx构建系统的多个恶意版本被发布到npm上,这些版本包含恶意软件,利用AI CLI工具扫描本地文件系统以窃取敏感数据。受影响的Nx版本包括20.9.0到21.8.0等,这些版本每周下载量达460万次,是JavaScript生态系统中最常用的构建工具之一。恶意软件会窃取GitHub令牌、npm令牌、SSH密钥、环境变量和加密货币钱包数据,给开发者带来严重损失。
人工智能技术的应用也为供应链攻击提供了新的工具。2025年6月,Trend Micro详细介绍了“slopsquatting”这一新兴的供应链威胁。Slopsquatting是指AI编码助手在生成代码时可能会“幻觉”出不存在但看似合理的包名,攻击者可以利用这些包名在公共注册表中注册恶意包,从而在开发者的流程中引入恶意代码。这种新型攻击方式利用AI技术的特性,使得攻击更加隐蔽和高效。
供应链攻击的目标也在不断扩大,从传统的软件领域扩展到硬件和设备层面。2024年9月,黎巴嫩地区大量寻呼机被同时引爆,次日再次发生对讲机等通讯设备批量爆炸事件,两轮爆炸共计造成数千人受伤,多人死亡。后续调查表明这些由黎巴嫩真主党采购的通讯设备在交付前已被篡改,修改后的通讯设备可以接受特定的远程指令,然后触发内部植入的爆炸装置。这一事件表明,供应链攻击已经具有物理破坏能力,对人身安全构成直接威胁。
软件交付环节是供应链攻击中最活跃的领域,攻击者利用用户获取软件的渠道进行恶意代码分发。从官方应用商店到第三方下载站,从网络下载到物理介质,每个交付渠道都存在被滥用的风险。
灰色软件供应链在国内尤为突出,众多的未授权的第三方下载站点、云服务、共享资源、破解盗版软件等共同组成了灰色软件供应链。2024年1月,安天CERT发现暗蚊黑产团伙利用非官方软件下载站进行投毒和攻击下游用户,攻击者在运维工具上捆绑植入macOS平台远控木马。被利用的下载站点为“MACYY”,研究人员搜索“Mac破解软件”等关键字时,该下载站在Google搜索站排名第一,在Bing搜索站排名第七,可见该网站是一个较为流行的macOS破解软件下载站点。
官方渠道也并非绝对安全。2024年7月,Malwarebytes发布新报告显示谷歌竟然允许黑客投放虚假的谷歌身份验证器广告,这个虚假的验证器包含恶意软件。该恶意软件DeerStealer是一种窃取程序,它会通过攻击者控制的网站窃取用户的个人数据。值得注意的是黑客还通过某种方式绕过了谷歌的广告审核机制,因为该广告显示的来自google.com并且被标记为经过身份认证的广告投放者。
内容分发网络(CDN)的污染成为新的攻击向量。2024年6月,Sansec安全研究团队披露了一起严重的网络安全事件:知名的Polyfill开源库的CDN分发站点polyfill.io自今年2月卖给了一家中国企业之后,修改了JavaScript库的代码内容,开始嵌入恶意程序,以将访问使用其服务的网站用户重新引跳转至体育赌博或其他恶意网站。Sansec估计,超过10万个网站受到了这次攻击的影响,包括很多知名上市公司。
域名劫持和过期域名抢注是交付环节的另一个威胁。2025年2月,奇安信威胁情报中心发现很多站点在晚上9点至凌晨5点使用安卓UA的设备访问时,会跳转至同一色情网页。经过分析,发现这些网页都引用了名为bshare的分享按钮插件,该插件对应的服务域名为static.bshare.cn。bshare.cn域名在被人抢注后,域名拥有者可以非常方便地通过修改JS代码来进一步控制所有引用了bshare插件的网页,从而进行推流或是其他网络攻击行为。
物流链劫持虽然相对少见,但危害性极大。2024年9月黎巴嫩寻呼机爆炸事件背后是攻击者对设备供应链的渗透。寻呼机型号显示为台湾Gold Apollo品牌的AR924型号寻呼机,但调查发现这些寻呼机是由一家使用其品牌授权的欧洲公司BAC制造并销售。攻击者借助中间代理公司或者仿冒产品,制造了带有炸药的电子设备,再寻找机会将这些设备伪装为真主党采购的物品从而交付给他们。
软件更新机制被滥用是交付环节中最危险的攻击方式之一。2021年7月,Revil勒索软件组织针对Kaseya的供应链攻击事件中,黑客入侵后通过下发恶意软件更新服务,利用管理员权限感染了装有VSA的MSP服务商,而MSP又向其下游客户提供服务访问权限,导致此次REvil勒索病毒扩散得十分猛烈。这种通过合法更新渠道分发恶意软件的方式,极大地增强了攻击的隐蔽性和破坏力。
软硬件产品交付给用户后,在使用环节仍然面临多种安全威胁。从升级劫持到访问凭证窃取,从服务污染到硬件后门,使用环节的安全问题直接影响最终用户的资产和数据安全。
升级劫持是使用环节最常见的攻击方式之一。2025年1月,DogWifTools的Windows版本在1.6.3至1.6.6版本中被黑客篡改。攻击者通过逆向工程提取GitHub令牌,获得了项目的私有GitHub仓库的访问权限。获得访问权限后,攻击者等待DogWifTools开发者每次发布新版本,然后下载更新,对其反编译,构建木马化的版本,并在几小时后上传替换原本正常的更新版本。这种精准的攻击策略使得恶意更新难以被及时发现。
访问凭证窃取类攻击的影响范围不断扩大。2025年8月,攻击者通过入侵Salesloft的Drift应用程序,窃取了OAuth令牌,成功获取了多家顶级网络安全公司Salesforce实例的访问权限。此次攻击被归因于高级威胁组织GRUB1,攻击者利用异步Python库和Salesforce Bulk API执行高效率的数据窃取,同时实施反取证技术掩盖踪迹。这种通过攻击服务提供商来获取其客户访问权限的方式,极大地放大了单一安全事件的影响范围。
服务污染成为新的攻击载体。2024年10月,韩国安全厂商AhnLab和韩国国家网络安全中心称APT37借助常出现于免费软件中的弹窗广告程序针对韩国地区发起大规模攻击,此次攻击使用了一个IE 0day漏洞CVE-2024-38178。APT37首先攻击了韩国在线广告代理服务器,然后攻击者将漏洞利用代码插入服务器提供的广告内容中,当广告程序从服务器下载并呈现广告时会加载IE组件触发漏洞利用代码,此过程无需任何用户交互。
云服务和SaaS平台的普及带来了新的攻击面。2023年7月,Mandiant Consulting应对了一起影响美国软件解决方案实体的供应链入侵事件。此次攻击受害的美国软件解决方案实体是JumpCloud的一个下游客户,初始访问权是通过入侵JumpCloud并将恶意代码插入其命令框架获得的。JumpCloud报告称,此次未经授权的访问影响了不到5名客户和不到10台设备,这表明攻击极具针对性。
硬件设备的安全问题也不容忽视。2017年8月,安全研究人员发现知名电信设备制造商Arris生产的调制解调器存在5个安全漏洞,其中有3个是硬编码后门账号漏洞。攻击者利用三个后门账号均可控制设备,提升至ROOT权限、安装新固件,甚至架设僵尸网络。有问题的调制解调器型号为Arris NVG589、Arris NVG599,主要在美国宽带运营商AT&T的网络里使用。
物联网设备的供应链安全问题日益突出。2023年1月,Palo Alto Networks的Unit 42团队报告称,试图利用Realtek JungleSDK中的一个已知漏洞的攻击数量超过了他们监测到的总攻击数的40%。由于许多物联网供应商在各种不同的产品中使用Realtek芯片组,CVE-2021-35394漏洞影响了66个不同制造商的近190种设备模型。这个漏洞之所以吸引了如此多的攻击者,是因为供应链问题可能使得普通用户难以识别正在被利用的受影响产品。
区块链和加密货币领域成为供应链攻击的新目标。2025年2月的大型加密货币交易所Bybit被窃取价值近15亿美元的加密货币事件,事后调查发现该攻击由Lazarus所为。此次窃案源自供应链攻击,Bybit交易使用Safe{Walle}t团队提供的签名机制,而Safe{Walle}t开发人员机器被Lazarus入侵,攻击者通过篡改Safe{Walle}t的前端JavaScript文件,注入恶意代码,修改Bybit的multisig交易,将资金重定向到攻击者地址。
面对日益复杂的供应链攻击,单一的防御措施已经难以应对,需要建立从开发到使用的全生命周期防护体系,同时加强各方协作,共同提升供应链安全水平。
开发环节的安全是供应链安全的基础。软硬件厂商需要建立可信的开发环境,这包括可控可信任的软硬件环境,诸如正规渠道购买、下载的软硬件,可信的第三方开源/商业库、算法等,采购安全可信的软件外包服务。同时,培养开发人员的安全意识,在开发过程的各个环节建立检查点把安全性的评估作为一个必要评审项。开发完成的软硬件发布前交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。
交付环节的安全控制是防止攻击扩散的关键。软硬件厂商应在正规渠道发布软件,提供给用户可以验证安装包是否正确的数据,比如软件包的校验和信息。软件安装时校验自身的完整性,升级更新自身时校验下载回来安装包的签名,保证不运行被劫持的升级包。对于最终用户,应尽可能使用正版和官方渠道输出的软件,避免使用非官方、盗版、破解以及来源不明的软件。
使用环节的持续监控是及时发现威胁的重要手段。企业用户需要建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报。遵循权限最小化原则缩减攻击面,进行防御性的访问权限配置,缩小攻击面。安装防病毒软件,打开实时防护,设置自动病毒库更新,尽管现在安全业界一股唱衰传统病毒防护方案的风气,然而作为终端上最主要的一道防线其作用依然不可取代。
供应链透明度和可追溯性是长期解决方案。建立软件物料清单(SBOM)制度,使组织能够了解其软件中使用的所有组件及其依赖关系,当某个组件发现漏洞时,可以快速定位受影响的产品和系统。同时,推动软件来源验证和代码签名机制的普及,确保软件从开发到交付的整个过程中不被篡改。
国际合作和信息共享是应对全球性供应链威胁的必要条件。从XZ Utils后门事件到SolarWinds攻击,供应链攻击往往具有跨国特性,需要各国政府、企业和安全机构加强合作,建立信息共享机制和应急响应协调机制。通过共享威胁情报、攻击指标和最佳实践,提高整个生态系统的安全水平。
法律法规和标准体系建设是供应链安全的制度保障。各国政府应加强网络安全立法,明确供应链各方的安全责任和义务,建立供应链安全审查和认证制度。同时,推动国际供应链安全标准的制定和互认,促进全球供应链的安全和稳定。
以上就是关于2025年软硬件供应链安全分析的全面内容。从开发环节的工具污染到交付环节的渠道劫持,再到使用环节的服务污染,供应链攻击的手段不断进化,影响范围持续扩大。15亿条数据泄露的惊人数字背后,是整个行业对供应链安全重视不足的残酷现实。
面对日益复杂的供应链威胁,没有单一的银弹解决方案。需要软硬件厂商、安全企业、最终用户以及政府监管机构共同努力,构建从开发到使用的全生命周期防护体系。只有通过技术创新、管理提升和国际合作的多管齐下,才能有效应对供应链安全挑战,保障数字经济的健康可持续发展。
供应链安全不仅是技术问题,更是管理问题和生态问题。随着数字化转型的深入,供应链安全的重要性将进一步提升。未来,我们需要在技术防护、管理流程、标准规范和国际合作等多个层面持续努力,构建更加安全、可信的数字化生态系统。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
