朝鲜APT组织LAZARUS 在供应链攻击中使用 MAGICLINE4NX 零日漏洞

根据SecurityScorecard发布的《全球第三方网络安全漏洞报告》显示，2023年大约29%的违规行为可归因于第三方攻击媒介，因为许多违规行为的报告没有指定攻击媒介，所以实际比例可能要更高。MOVEit、CitrixBleed和Proself是2023年的软件供应链方面三个最广泛利用的漏洞，其中MOVEit零日漏洞产生广泛影响可能被归咎于第三方、第四方甚至第五方。

近日，以色列网络安全公司Seal Security宣布获得由Vertex Ventures Israel领投的740万美元种子轮融资，Seal归属软件供应链安全赛道，其研发的平台产品主要利用生成式AI为客户提供自动化的修复解决方案，其平均修复时间可从过去几个月缩短到现在的几个小时，足以以应对软件供应链这一日益严峻的挑战。

通过在开源软件包中插入恶意代码来迅速将恶意软件传播到整个软件供应链中是恶意分子常用的攻击手段。然而，最新的研究发现，如果用户等待大约14天后再将这些软件包更新到最新版本，就可以避免受到软件包劫持攻击的不良影响。

基于各方在自身领域的专业积累，将此次调研工作进行了明确的分工，并将不定期进行调研分享交流会。

各类攻防演练的结果证明，软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则：合规是底线，管理是准则，制度是要求，技术是支撑，服务是保障，流程是协作。安全管理制度的建立，能够规范软件供应链涉及的内部、外部角色的行为，同时提供制度性保障。其次，针对软件开发各阶段与存在的风险，引入对应的安全能力，提供技术支撑，确保安全质量。

新推出的开放框架寻求为公司和安全团队提供全面且可行的方式深入了解软件供应链攻击行为及技术。这项名为开放软件供应链攻击参考（OSC&R）的计划由以色列软件物料安全管理公司OX Security主导，评估软件供应链安全威胁，覆盖一系列攻击途径，比如第三方库和组件漏洞、构建及开发系统供应链攻击，以及被黑或恶意软件更新包。

《安全要求》给出了软件供应链安全保护目标，规定了软件供应链组织管理和供应活动管理的安全要求；适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理，可为第三方机构开展软件供应链安全测试和评估提供依据，也可为主管监管部门提供参考。

2022年8月1日，由悬镜安全、ISC、中国电信研究院共同编撰的《软件供应链安全治理与运营白皮书》于ISC互联网安全大会悬镜出品的“软件供应链安全治理与运营论坛”上正式发布。图1 《软件供应链安全治理与运营白皮书》正式发布Gartner分析指出，“到2025年，全球45%组织的软件供应链将遭受攻击，比2021年增加了三倍。”

软件开发商表示，计划投资安全代码审核及SBOM设计与实现。Cornell表示，如果他们能够充分应对这一风险，而且比竞争对手更迅速，那就意味着他们可以更快进入市场，更快开始为利益相关者创造价值。Cornell称，有了高管的参与，他们就会开始在预算分配中反映这一重点。Cornell表示，他们也拥有可以帮助生成SBOM的工具，可以将之提供给软件消费者，使其能够管理自身供应链风险。