投放800個惡意NPM包！黑客發動“自動化”供應鏈攻擊

　　軟件供應鏈攻擊的頻率和規模正在不斷升級。3月底，一個被代號“RED-LILI”的黑客發動了針對NPM存儲庫的大規模供應鏈攻擊，一口氣發布近800個惡意NPM包。

　　“通常，攻擊者使用一個匿名的一次性NPM帳戶發起攻擊，”以色列安全公司Checkmarx透露：“但這一次，攻擊者似乎完全自動化了NPM帳戶創建過程，為每個惡意程序包都開設了專用帳戶，這使得這批新的惡意包更難被發現和完全清理。”

　　此前，JFrog和Sonatype最近的報告都詳細介紹了數百個惡意NPM包，這些包利用依賴混淆和域名仿冒等技術針對Azure、Uber和Airbnb的開發人員。

　　據Checkmarx透露，黑客使用自定義Python代碼和Selenium等Web測試工具的組合來模擬在注冊表中復制用戶創建過程所需的用戶操作，從而將惡意庫自動化批量上傳到NPM。

　　為了繞過NPM設置的一次性密碼(OTP)驗證，攻擊者還利用一種名為Interactsh的開源工具將NPM服務器發送的OTP提取到注冊期間提供的電子郵件地址，從而成功創建帳戶。

　　有了這個全新的NPM用戶帳戶后，攻擊者會在生成訪問令牌之后，以自動方式創建和發布一個惡意程序包，且每個帳戶只發布一個，這種方式可以有效繞過電子郵件OTP驗證。

　　研究人員說：“這是軟件供應鏈攻擊的一個里程碑，標志著供應鏈攻擊者正在不斷提高技能并讓防御變得更加艱難。”“通過跨多個用戶名分發惡意軟件包，攻擊者使防御者更難完全關聯和防御，增加感染的機會。”

　　黑客偽造“政府傳票”竊取科技巨頭敏感數據，蘋果、臉書等均受影響

　　3月底，安全博客KrebsOnSecurity披露了一種偽裝政府執法部門向互聯網公司套取用戶數據的攻擊手法，攻擊者竊取執法部門郵箱等官方賬號，向互聯網平臺發送“緊急數據申請”，從而套取用戶敏感數據；最近興起的LAPSUS$數據勒索團伙正是利用這一手法為基礎，成功入侵了微軟、Okta、英偉達等知名企業內網竊取數據，蘋果、Meta等巨頭曾應黑客要求提供用戶數據；互聯網巨頭們向黑客提供的數據包括用戶的基本信息，如消費者的家庭住址、電話號碼、IP地址等。

　　國內上市公司遭遇電信詐騙：郵箱遭入侵，被騙2275萬元

　　4月初，大亞圣象（000910）發布2021年度業績報告，公司實現營收87.5億元，同比上升20.46％；歸屬上市公司股東凈利潤5.95億元，同比下降4.86％。

　　值得注意的是，公司同時披露，其全資子公司遭遇電信詐騙，涉案金額約356.9萬美元(折合人民幣2275.49萬元)，追回可能性較低。

　　大亞圣象公告表示，2021年報告期內，公司全資子公司圣象集團有限公司下屬子公司美國HomeLegendLLC公司，成為一起電信欺詐的受害者，肇事者入侵該公司租用的微軟公司365郵箱系統，偽造假電子郵件冒充該公司管理層成員，偽造供應商文件及郵件路徑，實施詐騙，涉案金額約356.9萬美元（折合人民幣2275.49萬元）。

　　該公司已于美國地方聯邦執法當局備案并向中國公安機關報案。大亞圣象表示，截至報告日，被盜資金追回可能性較低。

　　國際電子郵件營銷巨頭MailChimp遭黑，淪為釣魚工具

　　4月初，電子郵件營銷公司MailChimp披露其遭到黑客攻擊，黑客利用內部客戶支持和賬戶管理工具竊取用戶數據，并進行網絡釣魚攻擊。

　　MailChimp已經證實，黑客發動這次攻擊不僅僅是為了訪問Trezor的帳戶，其部分員工受到了社會工程攻擊，導致憑證被盜。這些憑證被黑客用于訪問319個MailChimp帳戶，并從102個客戶帳戶中導出“受眾數據”。

　　MailChimp首席信息安全官Siobhan Smyth表示：“3月26日，我們的安全團隊發現，惡意行為者訪問了一個面向客戶團隊、用于客戶支持和賬戶管理的的內部工具。該事件是由外部參與者發起的，他對Mailchimp員工進行了社會工程攻擊，導致其憑證被泄露。我們迅速采取行動，終止黑客對被入侵員工賬戶的訪問，并采取相應措施來防止更多員工受到影響。”

　　除了查看賬戶和導出數據以外，威脅參與者還獲得了對客戶API密鑰的訪問權，目前這些密鑰已被禁用。應用程序編程接口 (API) 密鑰是允許MailChimp客戶直接從他們自己的網站或平臺管理他們的帳戶和執行營銷活動的訪問令牌。威脅參與者可以憑借這些泄露的API密鑰創建自定義電子郵件活動，例如發起網絡釣魚活動，并將它們發送到用戶郵件列表，而無需訪問MailChimp的客戶門戶。

　　俄羅斯石油巨頭Gazprom Neft網站因遭黑客攻擊而關閉

　　近期，俄羅斯國家天然氣公司Gazprom的石油部門Gazprom Neft網站因遭黑客攻擊而被迫關閉，這似乎是俄羅斯入侵烏克蘭后對政府相關網站的最新黑客攻擊。據說該網站上有一份來自俄羅斯天然氣工業股份公司首席執行官阿列克謝米勒的聲明，該聲明似乎已經是網站被黑客入侵后的版本了，這份聲明中對俄羅斯向烏克蘭派遣數千名士兵的決定發表了批評言論，隨后，該網站就被迫停止運營。

　　除此之外，據稱多個烏克蘭新聞網站在上個月同樣遭到俄羅斯威脅攻擊者的黑客攻擊，并向訪問者展示了“Z”符號。烏克蘭國家特別通信和信息保護局在一篇網絡帖子中證實了這一事件，并將責任歸咎于俄羅斯國家支持的行為者。

　　烏克蘭成功挫敗對其電網的破壞性網絡攻擊

　　4月初，烏克蘭CERT和ESET披露，沙蟲黑客組織針對烏能源工控設施發起破壞性網絡攻擊，希望切斷區域電力供應，但被成功阻止；攻擊者使用了曾導致烏克蘭大停電的Industroyer更新版、CaddyWiper數據擦除軟件；據分析，此次攻擊發生在4月8日晚間，Industroyer2在兩周前已經準備好，被攻擊網絡至少在2月已經被滲透。

　　在這次攻擊中，攻擊者使用了Industroyer的更新版本Industroyer2。Industroyer是沙蟲組織使用過的一種惡意軟件，曾在2015年導致烏克蘭大停電。對專為工業環境設計的Industroyer2留下的痕跡的分析表明，該組織已經就對烏克蘭電力系統攻擊籌劃了數周。

　　美國土安全部成功挫敗針對海底互聯網光纜的網絡攻擊

　　美國國土安全部當地時間4月12日在一份聲明中表示，上周火奴魯魯的聯邦特工“破壞”了對一家未具名電信公司服務器的明顯網絡攻擊，該服務器與負責夏威夷和該地區互聯網、有線電視服務和手機連接的海底光纜相關。

　　國土安全部下屬的國土安全調查部（HSI）駐夏威夷的特工收到來自大陸HSI同行的提示，導致“涉及與海底電纜相關的私人公司服務器的重大違規行為”中斷。調查顯示，“一個國際黑客組織”是這次襲擊的幕后黑手，“幾個國家的HSI特工和國際執法合作伙伴得以逮捕嫌疑人”。

　　烏克蘭政府遭受威脅行為者IcedID惡意軟件攻擊

　　近期，烏克蘭計算機應急響應小組 (CERT-UA) 發現了新的網絡釣魚活動，旨在用IcedID惡意軟件感染烏克蘭政府機構的系統。

　　攻擊者在網絡釣魚消息使用了名為“Mobilization Register.xls”的Excel文檔。當用戶打開文檔并啟用嵌入式宏后，該文檔將開始下載并運行可執行文件，這個可執行文件可用于解密并運行GzipLoader，GzipLoader可作為IcedID惡意軟件的廣告加載器。用戶下載的EXE文件將解密并運行計算機上的GzipLoader惡意軟件，然后該惡意軟件將開始下載、解密和運行IcedID惡意軟件。IcedID惡意軟件（也稱為BankBot）屬于“銀行木馬”類，除了造成常規的攻擊影響以外，還可以執行身份驗證數據竊取。

　　國家郵政系統遭網絡攻擊，這個國家養老金發放部分中斷

　　近期，東歐國家保加利亞的國家郵政系統遭到網絡攻擊，有業務系統無法工作，導致柜臺養老金發放業務被迫中斷；這給許多老年人的生活帶來了意外打擊，有民眾擔心拿不到養老金，沒法應付即將到來的復活節假期；保加利亞副總理Kalina Konstantinova稱，過去十年以來，保加利亞郵政的網絡安全問題一直遭到系統性忽視。

　　網絡攻擊致使這家航司航班嚴重延誤近一周

　　4月17日，因供應商系統遭受網絡攻擊，加拿大老牌航空公司陽翼航空的重要系統中斷服務，致使航班嚴重延誤近一周時間；此次事件導致至少188個航班發生延誤，許多乘客因此被困在機場，有乘客表示已經滯留在機場超過3天；為減少服務中斷，陽翼航空表示會盡量以手動方式處理航班業務。

　　北美國家財政系統遭勒索攻擊

　　4月18日，北美洲國家哥斯達黎加財政部披露遭到Conti勒索軟件攻擊，多個部委大量系統受影響癱瘓，大量敏感數據被盜；哥國財政部受影響最嚴重，納稅人信息被盜引發大眾恐慌，稅務海關等系統癱瘓多天，導致該國出口業務損失慘重，至少損失2億美元；哥國總統稱攻擊者試圖破壞國家穩定，并暗指與俄羅斯有關。不過也有安全專家認為，這只是一起普通的金錢勒索，僅僅因為該國系統漏洞太多。

　　南美洲金融中心里約財政系統遭勒索攻擊，420GB數據被盜

　　4月22日，巴西里約熱內盧州的財政大臣披露該州的財政系統遭到LockBit勒索軟件攻擊，420GB數據遭竊取，威脅不支付贖金將馬上公開數據；據悉，這批數據竊取自Sefaz-RJ系統中，約占州財政部門全部數據存儲量的0.05%；LockBit是目前最流行的勒索軟件即服務平臺之一，有數據顯示今年已攻擊了至少650個目標組織。

　　網絡攻擊致使汽車租賃巨頭全球系統中斷

　　4月29日，國際汽車租賃巨頭Sixt遭到網絡攻擊，部分業務系統被迫中斷，運營出現大量技術問題；公司的客戶服務中心和部分分支機構受影響較大，大多數汽車預定都是通過筆和紙進行的，服務熱線短時離線后恢復，業務陷入混亂；據猜測，此次攻擊可能屬于勒索軟件攻擊，目前暫時沒有相關組織表示負責。

　　農業機械巨頭愛科遭勒索攻擊

　　5月初，美國農業機械巨頭愛科遭到勒索軟件攻擊，部分生產設施運營受影響，可能持續多天；有經銷商表示，這導致拖拉機銷售在美國最重要的種植季節停滯不前；近一年來多家農業供應鏈企業遭到攻擊，農業逐漸成為勒索攻擊重點目標，FBI已接連發布兩次行業預警。

　　勒索攻擊致使美國老牌高校林肯學院倒閉

　　5月初，位于美國伊利諾伊州農村的林肯學院表示，在其成立157年之后，由于新冠疫情和最近遭受的勒索軟件攻擊對其財務造成了殘酷的打擊，學院決定將在本月永久關閉。林肯學院網站公告中寫道：“林肯學院在2021年12月遭受了一次網絡攻擊，阻礙了招生計劃和對所有機構信息的訪問，導致對2022年秋季招生的預測無法明確。”

　　最強間諜軟件：難以防范的國家安全威脅

　　近期，以色列間諜軟件Pegasus（飛馬）再次成為歐美關注的焦點。5月初，西班牙首相桑切斯確認遭飛馬軟件入侵，成為現任全球政府首腦的首個確認案例。此前，英國首相鮑里斯·約翰遜辦公室相連設備也發現 飛馬間諜軟件的活動痕跡。

　　接連曝光的事件引發對監控軟件使用的廣泛爭議。在全球開展的飛馬項目調查顯示，目前已在世界各地發現超過 450 起疑似飛馬入侵事件，受害者分布普及世界各地，包括不少國家的領導人。

　　目前飛馬軟件已被美國商務部列入黑名單，正在接受歐洲議會委員會的調查。頻發曝光的飛馬入侵事件突顯出間諜軟件構成的國家安全威脅。

　　俄羅斯電視臺在勝利閱兵日被黑，顯示“恐嚇式”反戰信息

　　5月9日，在俄羅斯舉行勝利日閱兵的重要時刻，該國智能電視顯示的畫面遭到篡改，展示了許多血淋淋的反戰標語信息；俄羅斯主要電視頻道、最大搜索網站Yandex、最大視頻網站RuTube均受到網絡攻擊的影響；俄羅斯政府近期通過一項法律，任何抹黑俄羅斯軍隊及其在烏克蘭作戰行動的企圖都是違法的，上述大部分言論在俄羅斯國內都會遭到禁止。

　　加拿大空軍關鍵供應商遭勒索攻擊，疑泄露44GB內部數據

　　5月11日，加拿大、德國軍方的獨家戰機培訓供應商Top Aces透露，已遭到LockBit勒索軟件攻擊；LockBit團伙的官方網站已經放出要求，如不支付贖金將公布竊取的44GB內部數據；

　　安全專家稱，針對國防相關企業的攻擊令人擔憂，因為“無從得知被盜數據最終會落入哪里”，很可能流入對手國家；LockBit是目前最流行的勒索軟件即服務平臺之一，據統計今年已攻擊了至少650個目標組織。

　　意大利多個重要政府網站遭新型DDoS攻擊癱瘓

　　近期，意大利參議院、上議院、國防部等多個重要政府網站遭到網絡攻擊，網站無法訪問至少1個小時；意大利CERT發布預警稱，此次攻擊使用了“慢速HTTP”的新型DDoS手法，傳統防御措施較難抵御，需要針對性處置；親俄黑客團伙Killnet聲稱對本次攻擊負責。

　　俄最大銀行遭到最嚴重DDoS攻擊

　　5月19日，俄羅斯最大銀行Sberbank（聯邦儲蓄銀行）官網披露，在5月6日成功擊退了有史以來規模最大的DDoS攻擊，峰值流量高達450 GB/秒。

　　Sberbank副總裁兼網絡安全主管Sergei Lebed稱，網絡犯罪分子利用各種策略實施網絡攻擊，包括將代碼注入廣告腳本、惡意Chrome擴展程序，以及被DDoS工具武器化的Docker容器等。

　　Sberbank安全負責人表示，俄羅斯網絡安全發生了結構性轉變，過去3個月來企業遭受的網絡攻擊呈現爆炸性增長，實力大幅提升；普京稱俄羅斯正在遭受“信息空間戰爭”，他提出了三項關鍵任務，以確保俄關鍵信息基礎設施安全。