【威胁情报】每周供应链安全简报(2025.07.19~07.25)

## 摘要

本周供应链安全威胁呈现出多样化和隐蔽性增强的趋势，主要表现在以下几个方面：

1. **开源生态系统受攻击**：GitHub、npm等开源平台成为攻击者的重点目标，多个流行库遭到投毒。

2. **钓鱼活动频发**：攻击者通过钓鱼邮件或仿冒域名窃取开发者凭证，进而污染软件包。

3. **供应链攻击持续扩大**：恶意代码通过依赖传递实现广泛分发，进一步放大了潜在影响范围。

4. **游戏平台成为新目标**：Steam等游戏平台的抢先体验版游戏被嵌入木马程序，用户数据面临风险。

本周共记录多起重大供应链安全事件，涉及GitHub、npm、Steam等核心开发平台和生态系统。这些攻击不仅暴露了开源社区依赖关系的脆弱性，也凸显了开发者账号和仓库管理中的安全漏洞。

---

## 威胁情报概要

### 1. 开源游戏中嵌入恶意软件

- **事件描述**  

黑客组织EncryptHub利用Steam抢先体验生存游戏《Chemia》，植入多种恶意软件（HijackLoader、Vidar窃密木马和Fickle Stealer），窃取用户浏览器凭证、自动填充数据、Cookie及加密货币钱包信息。

- **受影响供应商**  

Steam游戏平台，开发者未明确认 trách nhiệm。

- **攻击向量**  

1. 游戏项目中嵌入恶意代码（DLL文件和PowerShell脚本）。

2. 恶意软件通过Telegram频道接收C2指令。

3. 钓鱼邮件或游戏内更新机制可能为入侵路径。

- **潜在影响**  

用户数据泄露、加密货币盗窃、系统被植入后门程序，进而导致更大范围的网络攻击。

- **缓解建议**  

1. 避免下载未正式发布的游戏或应用。

2. 关注Steam官方公告，等待确认游戏清除恶意软件后再下载。

3. 使用杀毒软件扫描本地设备，及时发现异常行为。

---

### 2. Toptal GitHub账号被入侵，恶意npm包广泛传播

- **事件描述**  

黑客在Toptal的GitHub组织中植入恶意代码，并在10个npm包中注入-destructive脚本。这些包会尝试擦除用户系统数据或窃取凭证。

- **受影响供应商**  

Toptal和其开发的Picasso设计系统相关npm包，共计约5,000次下载受污染包。

- **攻击向量**  

1. 利用preinstall和postinstall生命周期脚本植入恶意代码。

2. 通过GitHub CLI窃取用户令牌，并尝试以sudo权限擦除系统数据。

3. 入侵路径可能涉及钓鱼、凭证泄露或内部人员合作。

- **潜在影响**  

1. 用户系统数据被删除（rm -rf /命令）。

2. 开发者凭据被窃取，可能导致进一步的供应链攻击。

3. npm生态系统信任度下降，相关包的用户面临高风险。

- **缓解建议**  

1. 启用GitHub仓库双因素认证（2FA）和分支保护规则。

2. 定期检查npm依赖项，避免使用来源不明或近期更新异常的包。

3. 使用安全扫描工具对拉取的代码进行实时检查。

---

### 3. npm生态系统遭到多次投毒攻击

- **事件描述**  

7 月份连续发生多起npm包被植入恶意代码的事件。包括：

1. Toptal相关npm包中注入删除系统数据的脚本。

2. Picasso设计系统包中植入窃取凭证的恶意代码。

- **受影响供应商**  

npm平台及其中的多个开发者账号，尤其是Toptal等高-profile组织。

- **攻击向量**  

1. 攻击者利用生命周期脚本（preinstall、postinstall）注入恶意逻辑。

2. 窃取用户凭证并回传至攻击者的Webhook地址。

3. 通过擦除系统数据实施破坏性攻击。

- **潜在影响**  

1. 用户设备遭到严重损害，尤其是Linux和macOS系统。

2. 开发者账号被进一步滥用，导致更多包受到污染。

3. 安全事件影响了npm生态系统的可信度。

- **缓解建议**  

1. 对package.json文件中的生命周期脚本进行审计，确保没有恶意代码。

2. 使用npm审核工具（如Socket AI Scanner）检查依赖项。

3. 开发者需启用强身份验证，并定期轮换API令牌。

---

### 4. Steam游戏平台连续发生恶意软件嵌入事件

- **事件描述**  

本周再次发生Steam抢先体验版游戏被植入木马程序的事件。这是2025年第三起类似安全事件，暴露了平台对未发布游戏的审核流程存在问题。

- **受影响供应商**  

Valve公司运营的Steam平台，以及开发者账号可能存在的漏洞。

- **攻击向量**  

1. 攻击者通过后台修改游戏文件，将恶意程序嵌入其中。

2. 恶意软件分多批次加载，不同阶段窃取用户数据和加密货币钱包信息。

3. Attackers可能利用了开发者的凭证或平台的审核漏洞。

- **潜在影响**  

1. 用户数据被窃取，涉及加密货币、浏览器存储等敏感信息。

2. 游戏开发者信誉受损，玩家对Steam平台信任度下降。

3. 平台的安全漏洞可能被进一步利用，从而引发更大规模的攻击。

- **缓解建议**  

1. 玩家应避免下载未正式发布的游戏或早期访问版本。

2. 开发者需加强账号和代码仓库的安全管理，启用双因素认证。

3. 使用杀毒软件扫描本地设备，及时发现异常行为。

---

## 趋势分析

1. **钓鱼活动成为首选攻击手段**  

攻击者越来越多地利用钓鱼邮件或仿冒域名窃取开发者的凭证，从而侵入供应链的上游环节。这种攻击方式隐蔽性强，但可通过加强凭证管理和2FA防范。

2. **npm生态系统成为目标**  

攻击者倾向于利用开源社区中包的依赖关系，通过污染关键包来实现广泛传播。此类攻击可能会继续增加，尤其是针对高 使用率的库。

3. **游戏平台成为新兴攻击领域**  

Steam等游戏平台因其庞大的用户基数和较为宽松的内容审核机制，正逐渐成为恶意软件传播的新目标。抢先体验版游戏尤其容易被利用。

4. **生命周期脚本被滥用**  

攻击者越来越多地利用npm/yarn包的生命周期脚本（如preinstall、postinstall）注入恶意逻辑，这种方式难以通过传统安全工具检测。建议开发者对依赖项中的脚本进行严格审计。

---

### 总结与建议措施：

1. **加强凭证管理**  

  - 启用双因素认证（2FA）保护GitHub和npm账号。

  - 定期轮换API令牌和敏感操作权限。

2. **实时监控依赖项安全性**  

  - 使用自动化工具（如Socket AI Scanner）对拉取的包进行实时检查。

  - 定期审计package.json文件中的生命周期脚本，确保其安全性。

3. **提升开发者安全意识**  

  - 开展定期培训，增加对供应链攻击和钓鱼攻击的认识。

4. **加强版本控制系统安全性**  

  - 对GitHub仓库设置分支保护规则，防止恶意代码的突然推送。

### 需要进一步关注的问题：

1. Steam平台未正式发布游戏的审核机制仍需改进，建议开发者和玩家提高警惕。

2. npm生态系统的依赖关系安全性亟待加强，需通过技术手段减少恶意包传播的风险。

本次简报为您提供上述关键信息和缓解策略。如有进一步需求，请随时联系安全团队获取支持！