行业研究公司研究宏观策略财报招股书会议纪要 seedance2.0 低空经济 DeepSeek AIGC 大模型

软硬件产品供应链攻击分析报告

商贸零售 2025-10-15 - 未知机构杨静🍦

摘要

2025年8月，勒索组织ShinyHunters通过入侵Salesloft的Drift应用程序，窃取OAuth令牌，成功获取到与Drift连接的Salesforce实例的访问权限，导致多家企业数据被泄露。2025年2月，Bybit加密货币交易所因使用的签名服务代码被攻击者植入恶意功能，导致价值近15亿美元的加密货币被盗。2024年9月，黎巴嫩地区大量寻呼机被同时引爆，调查显示这些由黎巴嫩真主党采购的通讯设备在交付前已被篡改，可被远程操控引爆。这些事件表明，基于供应链的攻击来源众多，危害巨大。

概述

近年来，针对信息技术领域软硬件产品的供应链攻击事件频发，造成严重后果。本报告梳理了软硬件供应链的概念和环节划分，分析了各环节中已有的攻击实例，并提供了从供应链安全角度对威胁进行防护的对策和建议。

软硬件供应链相关概念

软硬件供应链的概念与传统供应链类似，包括开发、交付和使用环节。软件产品的供应链可被简单抽象为开发环节、交付环节和使用环节。此外，国内众多的未授权的第三方下载站点、云服务、共享资源、破解盗版软件等共同组成了灰色软件供应链。

攻击场景与案例分析

开发环节

开发工具污染：攻击者通过污染开发工具、第三方库等，影响软件产品的安全性。例如，XcodeGhost事件中，攻击者修改了Xcode附带的框架库，植入恶意代码。
源代码污染：攻击者直接修改软件产品的源代码，植入恶意代码。例如，Xshell后门代码植入事件中，攻击者修改了Xshell的源代码，植入后门代码。
厂商后门或漏洞：软件厂商在开发过程中预留的超级管理员账户或软件产品或供应商系统中的漏洞被攻击者利用，造成严重危害。例如，电商组件供应链后门攻击事件中，攻击者利用电商组件中的后门，窃取数据。

交付环节

捆绑下载：攻击者通过非官方渠道捆绑恶意软件，进行传播。例如，暗蚊黑产团伙利用macOS破解软件下载网站传播木马。
下载劫持：攻击者通过劫持下载站点的域名、篡改下载内容等方式，进行攻击。例如，域名劫持事件中，攻击者劫持了下载站点的域名，使得用户下载到恶意软件。
物流链劫持：攻击者在软硬件产品送达消费者之前的整个物流环节中进行攻击。例如，黎巴嫩寻呼机、对讲机等通讯设备爆炸事件中，攻击者修改了通讯设备，使其可被远程操控引爆。

使用环节

升级劫持：攻击者劫持软件更新的“渠道”，植入恶意代码。例如，Solana Pump.fun工具DogWifTool遭入侵事件中，攻击者劫持了软件更新的下载链接，植入恶意代码。
访问凭证窃取：攻击者窃取用户凭证信息，进行攻击。例如，Salesloft Drift供应链攻击事件中，攻击者窃取了OAuth令牌，获取到Salesforce实例的访问权限。
服务污染：攻击者修改或劫持用户使用的上游服务，使其携带恶意内容。例如，Bshare插件服务域名抢注导致大范围网页劫持事件中，攻击者抢注了Bshare插件服务的域名，导致用户访问的网页被劫持。

综合分析

事件数量：大量软件捆绑、流氓推广等针对供应链下游（交付环节）攻击的安全事件占据了供应链攻击的大头。
影响面：供应链安全事件影响的用户数远比一般的漏洞影响还要大。
场景/环节：大部分针对供应链攻击的安全事件主要集中在供应链下游（交付环节）。
趋势：针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势。

对策建议

最终用户：使用正版软件，安装防病毒软件，建设态势感知，完善资产管理及持续监控能力，遵循权限最小化原则缩减攻击面。
软硬件厂商：建立可信的开发环境，培养开发人员的安全意识，在正规渠道发布软件，提供可以验证安装包是否正确的数据。
安全厂商：提升发现软硬件产品中安全问题的能力，提供创新型的产品和服务，为用户实现全面细致的态势感知，提供有效的资产管理和持续监控工具，并提供威胁情报能力帮助用户完成安全事件的快速检测和响应。

目录软硬件产品供应链攻击分析报告...................................................................................................1摘要..................................................................................................................................................2概述..................................................................................................................................................2软硬件供应链相关概念...................................................................................................................3概念和环节划分.......................................................................................................................3灰色软件供应链.......................................................................................................................4攻击场景与案例分析.......................................................................................................................4开发环节...................................................................................................................................4开发工具污染...................................................................................................................5源代码污染.....................................................................................................................22厂商后门或漏洞.............................................................................................................35交付环节.................................................................................................................................42捆绑下载.........................................................................................................................42下载劫持.........................................................................................................................48物流链劫持.....................................................................................................................51使用环节.................................................................................................................................53升级劫持.........................................................................................................................53访问凭证窃取.................................................................................................................64服务污染.........................................................................................................................65综合分析.........................................................................................................................................67事件信息展示图.....................................................................................................................67主要发现与结论.....................................................................................................................69对策建议.........................................................................................................................................69最终用户.................................................................................................................................70软硬件厂商.............................................................................................................................71安全厂商.................................................................................................................................71参考链接.........................................................................................................................................72 摘要 2025年8月，与勒索组织ShinyHunters有关联的攻击团伙GRUB1（又称UNC6395）通过入侵Salesloft的Drift应用程序，窃取OAuth令牌，然后成功获取到与Drift连接的Salesforce实例的访问权限。攻击者声称从760家公司窃取了超过1.5亿Salesforce记录，此次攻击的受害者还包括Palo Alto Networks、Zscaler和Cloudflare等网络安全行业的领军企业。 2025年2月21日，大型加密货币交易所Bybit被发现遭窃取价值近15亿美元的加密货币，事后调查发现该攻击由Lazarus所为。此次窃案源自供应链攻击，Bybit交易使用Safe{Wallet}团队提供的签名机制，而Safe{Wallet}开发人员机器被Lazarus入侵，攻击者通过篡改Safe{Wallet}的前端JavaScript文件，注入恶意代码，修改Bybit的multisig交易，将资金重定向到攻击者地址。 2024年9月，黎巴嫩地区大量寻呼机被同时引爆，次日再次发生对讲机等通讯设备批量爆炸事件，两轮爆炸共计造成数千人受伤，多人死亡。后续调查表明这些由黎巴嫩真主党采购的通讯设备在交付前已被篡改，修改后的通讯设备可以接受特定的远程指令，然后触发内部植入的爆炸装置。 2024年9月17日黎巴嫩地区被炸毁的寻呼机这类来源于供应链并最终造成巨大危害的安全事件其实并不少见，在本报告中，奇安信威胁情报中心对涉及信息技术领域软硬件产品的供应链概念进行了梳理，分析了各环节中已有的事件实例，最后提供一些从供应链安全角度对威胁进行防护的对策和建议。概述 2025年8月，勒索组织通过入侵Drift应用，获取到认证令牌，进而访问到与之关联的Salesforce数据系统，导致多家企业数据被泄露。2025年2月的Bybit加密货币交易所大劫案与其使用的签名服务代码被攻击者植入恶意功能有关。 2024年9月黎巴嫩寻呼机等通讯设备爆炸事件背后是攻击者对真主党设备供应链的劫持和渗透，将原本普通的电子设备转变成可远程操控的杀伤武器。2024年3月曝光的XZ Utils后门事件揭示了开源代码面临的风险，攻击者潜伏在XZ Utils项目中两年，伪装为活跃的代码贡献者，并通过社交工程学手段获得XZ Utils代码仓库的直接维护权限，为最后植入后门铺平道路。XZ Utils事件不是开源代码供应链攻击的唯一例子，一些攻击团伙还将包含恶意代码的Python模块或Npm库上传到第三方库管理平台，对下载并使用这些恶意第三方库的代码开发人员发动攻击。 2023年3月，音视频会议软件3CX官方发布的Windows和macOS新版本客户端被发现植入木马，影响全球多家企业。后续调查显示，攻击者是通过另一起供应链攻击进入3CX的软件构建环境，多家安全厂商认为3CX攻击事件与APT组织Lazarus有关。2020年12月，多家欧美媒体报道美国多个重要政企机构遭受了国家级APT组织的入侵，攻击疑似由于网络安全管理软件供应商SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击并植入木马后门导致。奇安信威胁情报中心第一时间通过解码部分DGA域名，推导出部分受害者计算机域，从而发现大量中招的知名企业和机构，其中不乏Intel、Cisco等在美高科技企业以及各类高校和政企单位。针对信息技术企业展开供应链攻击已成为APT团伙行动的一种可选手段。同时，近年来大量通过软件捆绑进行传播的

点击免费查看完整报告