軟硬件產(chǎn)品供應鏈攻擊分析報告目錄軟硬產(chǎn)供鏈擊析報告 1摘要 2概述 2軟硬供鏈關念 3概念環(huán)劃分 3灰色件應鏈 4攻擊景案分析 4開發(fā)節(jié) 4開發(fā)具染 5源代污染 22廠商門漏洞 35交付節(jié) 42捆綁載 42下載持 48物流劫持 51使用節(jié) 53升級持 53訪問證取 64服務染 65綜合析 67事件息示圖 67主要現(xiàn)結論 69對策議 69最終戶 70軟硬廠商 71安全商 71參考接 72摘要20258ShinyHuntersGRUB1（UNC6395）通過入侵Salesloft的DriftOAuthDrift連接的Salesforce7601.5Salesforce受害者還包括PaloAltoNetworks、ZscalerCloudflare2025221Bybit15幣，事后調(diào)查發(fā)現(xiàn)該攻擊由Lazarus所為。此次竊案源自供應鏈攻擊，Bybit交易使用Safe{Wallet}Safe{Wallet}LazarusJavaScriptBybit的multisig202492024年9月17日黎巴嫩地區(qū)被炸毀的尋呼機概述20258Drift20252Bybit2024920243月曝光的XZUtilsXZUtils碼貢獻者，并通過社交工程學手段獲得XZUtilsXZUtilsPythonNpm202333CXWindowsmacOS3CX3CX攻擊事件與APTLazarus202012APTSolarWindsAPTDGAIntelCiscoAPT手段。軟硬件供應鏈相關概念概念和環(huán)節(jié)劃分開發(fā)環(huán)節(jié)交付環(huán)節(jié)使用環(huán)節(jié)（灰色軟件供應鏈攻擊場景與案例分析Xshell開發(fā)環(huán)節(jié)/XshellNSA聯(lián)合發(fā)過程進行工具污染、源代碼攻擊以及廠商預留的后門或產(chǎn)品漏洞等真實案例。開發(fā)工具污染014年，NXenn在ACMReflectionson）thenHack（KTH，這或許是已知最早的針對軟件開發(fā)工具的攻擊設想。而最近的XcodeGhostKTH身，而是XcodeShai-Hulud事件名稱Shai-Hulud蠕蟲事件披露時間2025年9月事件描述2025915npm"Shai-Hulud"的惡意軟件以其自我復制能力迅速500npm包括每周下載量達數(shù)百萬次的流行包如@ctrl/tinycolor以及"Shai-Hulud"GitHub與之前的供應鏈攻擊不同，Shai-Hulud蠕蟲具有自我傳播能力，能夠"JavaScript直接威脅傳播惡意代碼、竊取npm、GitHub、AWS和GCP等云服務令牌、敏感信息泄露影響范圍至少256個npm包被感染，波及全球數(shù)百萬開發(fā)者參考鏈接https://www.r/blog/shai-hulud-worm-npmhttps://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packageshttps://www.t/en_us/research/25/i/npm-supply-chain-attack.htmlqix事件事件名稱qix事件披露時間2025年9月事件描述20259月，JavaScriptJoshJunon（qix）npm賬戶控制權，并在多個高頻下載包中植入惡意代碼，包括chalk和debug20制權。攻擊者選擇的目標包具有高下載量，影響范圍廣泛。惡意代碼的核心是API劫持技術，攻擊者通過重寫瀏覽器的原生網(wǎng)絡請求方法和加密錢包API，實現(xiàn)了對用戶交易的完全控制。攻擊者利用Levenshtein距離算法，確保替換的惡意地址與原始地址足夠相似，使得用戶難以察覺差異。此外，攻擊者還針對去中心化交易所（DEX）的路由器機制進行了定制攻擊，能夠劫持大部分swap操作。直接威脅加密貨幣錢包竊取影響范圍ChalkdebugDuckDB26npm計超過20億次參考鏈接/s/tawNdBQV6jKK9rSpsR3Deghttps://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attackhttps://socket.dev/blog/duckdb-npm-account-compromised-in-continuing-supply-chain-attackGhostAction活動事件名稱GhostAction活動披露時間2025年9月事件描述2025年9月5日，GitGuardian的安全研究團隊發(fā)現(xiàn)了一個名為GitHubGitHubCI/CD環(huán)PyPIPyPIGitGuardianPyPI510GitHubGiGaan37,5DockerHubGitHub令牌和NPMNPM令牌，可能導致惡意軟件包的發(fā)布。直接威脅憑證、令牌等敏感信息泄露影響范圍共有327個用戶的817個代碼倉庫受到影響，泄露3,325條機密信息參考鏈接/s/mkirDtFeljIo74lid2yvPA/ghostaction-campaign-3-325-secrets-stolen/Nx（s1ngularity）事件名稱Nx供應鏈攻擊（s1ngularity事件）披露時間2025年8月事件描述2025826NxnpmAICLIClaudeGemini、Q）掃描Nx20.9.021.8.0等，460JavaScriptGitHubnpmSSH量和加密貨幣錢包數(shù)據(jù)，并將這些數(shù)據(jù)上傳到受害者GitHub賬戶下以“s1ngularity-repository”為前綴的公共倉庫中。此外，惡意軟件還會在~/.bashrc和~/.zshrcsudoshutdown-h啟動。此次攻擊是首次公開記錄的利用開發(fā)者AI工具進行偵察和數(shù)據(jù)泄露的供應鏈攻擊案例。直接威脅憑證、令牌等敏感信息竊取影響范圍超2,000個GitHub賬戶受影響，泄露文件數(shù)量超20,000條機密信息參考鏈接https://socket.dev/blog/nx-packages-compromisedhttps://www.wiz.io/blog/s1ngularitys-aftermathRubyGems事件名稱RubyGems惡意軟件活動披露時間2025年8月事件描述Socket威脅研究團隊披露，一名持續(xù)活躍兩年多的攻擊者利用RubyGemskwonsoonjesoonje四個賬號發(fā)布60RubyGemInstagramNaverSEO刷HTTPS回傳至C2MAC目前仍有16個Gem處于在線狀態(tài)，44個已被下架但仍可通過鏡像或已安裝實例傳播。Gem下載量合計超過27.5萬次，實際受害系統(tǒng)數(shù)量尚難估計。攻擊者每2–3個月推出一波新平臺支持，并保留舊C2作為冗余，體現(xiàn)高度運營成熟度。直接威脅敏感信息竊取影響范圍60個惡意Gem，超過27.5萬次下載參考鏈接https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaignContagiousInterviewnpm事件名稱ContagiousInterview滲透npm生態(tài)系統(tǒng)披露時間2025年7月事件描述Socket發(fā)布報告指出，ContagiousInterview背后的黑客組織上傳了67個帶有XORIndex惡意軟件的npm包，這些軟件包在持續(xù)的供應鏈攻擊中下載量超過17,000次。XORIndex的主要目的是規(guī)避檢測并部署B(yǎng)eaverTail惡意軟件，后者與已知后門InvisibleFerret綁定，主要針對加密錢包和瀏覽器擴展程序。XORIndex攻擊活動是2025年6月報告的Loader攻擊活LoaderXORIndex攻C2增強了攻擊能力。攻擊者利用這些技術植入了28個惡意npm軟件包，允許攻擊者收集系統(tǒng)數(shù)據(jù)并傳播惡意軟件。直接威脅傳播惡意軟件，敏感信息竊取影響范圍67個惡意NMP，超過17,000次下載參考鏈接https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packagesVSCodeETHcode事件名稱VSCode擴展ETHcode遭到入侵披露時間2025年7月事件描述ReversingLabs究員現(xiàn)針以坊能約發(fā)者的VSCode擴展ETHcode遭到供應鏈攻擊。攻擊者使用名為Airez299的新注冊GitHub賬，向ETHcode項提了個似的PullRequest，稱對代碼庫進行現(xiàn)代化改造。該 PR主要引入了一個名為“keythereum-utils”的惡意依賴，并通過一行代碼調(diào)用該依賴。由于“keythereum”是ETHcode有合依增的“keythereum-utils”并未起夠意依經(jīng)高混混淆發(fā)其啟隱藏的PowerShell程，公共文件托管服下載執(zhí)行批處理腳本雖然第階載的體能仍分鑒攻目標加貨開發(fā)者，推測其可能用于竊取加密資產(chǎn)或破壞智能合約。該惡意擴展版本在VSCodeMarketplace6000051此次攻擊凸顯了軟件供應鏈的脆弱性，提醒開發(fā)者需嚴格審查第三方依賴和代碼貢獻。直接威脅竊取加密資產(chǎn)或破壞智能合約影響范圍近6000次安裝參考鏈接https://www.r/blog/malicious-pull-request-infects-vscode-extension事件名稱新型供應鏈威脅“slopsquatting”披露時間2025年6月事件描述Micro詳細介紹了“slopsquatting”這一新興的供應鏈威脅。SlopsquattingAIAIClaudeCodeCLIOpenAICodexCLICursor例如，CursorAI通過實時驗證將幻覺率降至最低，但在某些邊緣情況下，仍然可能會出現(xiàn)幻覺。直接威脅代碼搶注、惡意代碼傳播影響范圍未知參考鏈接https://www.t/vinfo/us/security/news/cybercrime-and-digital-threats/slopsquatting-when-ai-agents-hallucinate-malicious-packagesGo事件名稱Go模塊供應鏈投毒與磁盤擦除攻擊事件披露時間2025年5月事件描述攻 擊 者 通 過 發(fā) 布 三 個 惡 意 Go 模 塊（ /truthfulpharm/prototransform iakgi-cieelrlyLinuxwget命令從攻擊者控制的服務器（vanartest[.]website、kaspamirror[.]icu、shellddGo直接威脅完全數(shù)據(jù)銷毀、系統(tǒng)不可恢復、業(yè)務運營中斷、財務和聲譽損失影響范圍使用受影響惡意Go模塊的Linux開發(fā)環(huán)境和服務器參考鏈接https://socket.dev/blog/wget-to-wipeout-malicious-go-modules-fetch-destructive-payloadXRPNPM事件名稱XRP官方NPM軟件包感染加密貨幣竊取后門披露時間2025年4月事件描述l（421至44XRPederSDKXRPLedgersrc/index.tscheckValidityOfSeed（WalletfromSeedgenerate等0x9c[.]xyz。JS本直接修改TypeScript源碼以增強隱蔽性。直接威脅加密貨幣私鑰竊取、數(shù)字資產(chǎn)被盜、錢包完全控制、金融損失影響范圍使用xrpl惡意版本（4.2.1-4.2.4）的開發(fā)者及用戶，潛在影響數(shù)十萬應用參考鏈接https://www.aikido.dev/blog/xrp-supplychain-attack-official-npm-package-infected-with-crypto-stealing-backdoorBotAPISSH事件名稱TelegramBotAPI庫仿冒投毒與SSH后門攻擊事件披露時間2025年4月事件描述npm包（node-telegram-utils、node-telegram-bots-api、node-telegram-util），針對流行的node-telegram-bot-api420復制了正版項目的RADE文件并劫持其GiHb（K+假可信度。惡意代碼通過addBotId()函數(shù)在Linux系統(tǒng)上自動執(zhí)行，向~/.ssh/authorized_keysSSH通道，同時收集系統(tǒng)外部IP和用戶名信息并外傳到攻擊者控制的域名（l[.]air[.]leeam核機制的特點，通過typosquatting（仿冒命名）方式誘騙開發(fā)者安裝。直接威脅SSH后門植入、持久化遠程訪問、系統(tǒng)信息泄露、服務器完全控制影響范圍使用受影響仿冒npm包的Telegrambot開發(fā)者，累計下載量約300次參考鏈接https://socket.dev/blog/npm-malware-targets-telegram-bot-developerscountry-currency-map事件名稱country-currency-map組件供應鏈投毒事件披露時間2025年3月事件描述官方NPM賬號距上次發(fā)布country-currency-map組件5country-currency-map2.1.8版本。該組件在NPM170PayScaleNPMNPMauthpostinstall5（:eo2eca5t1ieeaetAPI者業(yè)務系統(tǒng)安全構成嚴重威脅。直接威脅敏感環(huán)境變量竊取、業(yè)務憑證泄露、系統(tǒng)信息外傳影響范圍使用country-currency-map@2.1.8的NPM開發(fā)者，潛在影響超百萬次下載用戶參考鏈接/s/kPBVmlIeXq9E2sJZltCimANPM事件名稱NPM依賴混淆投毒與敏感信息竊取事件披露時間2025年3月事件描述（tt2579）NPM4（momo-lib、iu-、i-i、c-i，共2（放執(zhí)行惡意木馬程序。直接威脅系統(tǒng)敏感信息竊取、遠程木馬投放、系統(tǒng)被遠控、企業(yè)數(shù)據(jù)泄露影響范圍使用受影響NPM組件的開發(fā)者，近一周下載量超1400次參考鏈接/s/CzUNCJtRGXCsyxfyTlyB8Q惡意NPMSolana事件名稱惡意NPM組件竊取Solana智能合約私鑰披露時間2025年2月事件描述20252（satoshinana11）NPM投放了4Solana智能合約SDK（serum-anchor-wallet、raydium-sdk-liquidity-init、gas-fee-saver、_er_eerix及McSolana務器（I:428664。近一個月內(nèi)，這些惡意包的總下載量約為45次。直接威脅加密貨幣合約私鑰泄露，導致數(shù)字資產(chǎn)被盜。影響范圍所有通過npm下載并使用了上述惡意組件的Node.js開發(fā)者，特別是Solana生態(tài)的開發(fā)者。參考鏈接/s/LRbKUS0HZ9578N6eBQ_fFQRspack、npmnpm包事件名稱Rspack、Vant因npm賬號被盜發(fā)布惡意npm包披露時間2024年12月事件描述npm@rspack/core@rspack/cliSonatypeSocketXMRigMonero加RspackRustJavaScriptJavaScript（CLI）npm394,000145,000Vue.jsUInpm46,000惡意代碼隱藏在@rspack/core的'support.js'文件和@rspack/cli中的s'文件中，并從外部服務器獲取其配置和控制指令（2。該惡意npmpostinstallXMRigGitHubCPU程的75％，從而在挖礦效率和逃避檢測之間取得平衡。直接威脅植入挖礦木馬影響范圍使用受感染版本的Rspack和Vant包的用戶參考鏈接https://www.b/news/security/malicious-rspack-vant-packages-published-using-stolen-npm-tokens/UltralyticsPyPI事件名稱Ultralytics項目PyPI包遭供應鏈投毒攻擊披露時間2024年12月事件描述Ultralyticspypiv8.3.41Ultralyticsgithub33.6k從12月5layis的iubPypiUltralytics8.3.41model.pydownload.pysafe_rundownload.py截至2024-12-0518點,受感染的Ultralytics版本已從PyPi中刪除。直接威脅植入挖礦木馬影響范圍使用受感染版本（8.3.41）ultralytics包的用戶參考鏈接/s/yKt1NLBfoNm_2FolyC21twLottieFiles事件名稱LottieFiles遭遇供應鏈攻擊，竊取用戶加密貨幣披露時間2024年10月事件描述224年0月30日下午2（CieisnpmLottieLottieFiles(SaaS)）lottie-player2.0.5、2.0.62.0.7web3即竊取所有資產(chǎn)和NFT，并將它們發(fā)送給攻擊者。區(qū)塊鏈威脅監(jiān)控平臺ScamSnifferLottieFiles72.3LottieFilesJavaScript認證令牌被盜，并被用于上傳npm包的惡意版本。直接威脅竊取加密錢包中的資產(chǎn)影響范圍使用受感染版本（2.0.5、2.0.6和2.0.7）Lottie-Player的用戶參考鏈接https://www.b/news/security/lottiefiles-hacked-in-supply-chain-attack-to-steal-users-crypto/2.2PyPI事件名稱“復活劫持”供應鏈攻擊威脅2.2萬個PyPI包的安全披露時間2024年9月事件描述PyPIPyPIPythonJFrogPyPI2.23094JFrogpingdomv3”是對PingdomAPI330Base64且攻擊JenkinsCI/CD環(huán)境的Python木馬。直接威脅遠程控制計算機影響范圍PyPI上超過2.2萬個已刪除包易受“復活劫持”攻擊參考鏈接/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk/Pidginmessenger事件名稱惡意軟件入侵Pidginmessenger的官方插件庫披露時間2024年8月事件描述一個名為“ss-otr”的惡意插件于2024年7月6日進入Pidgin插8月16日才被撤下。該插件被宣傳為安全非正式記錄)WindowsLinuxPidgin。據(jù)ESET稱，該插件安裝程序使用頒發(fā)給合法波蘭公司INTERREX–SP.ZOO的有效數(shù)字證書簽名。惡意插件提供了所宣傳的屏幕共享功能，但同時也包含惡意代碼，允許其從攻擊者位于jabberplugins[.]net的服務器下載PowerShell腳本或DarkGate惡意軟件，它也由Interrex證書簽名。同一惡意服務器（現(xiàn)已被關閉）還托管了名為OMEMO、PidginParanoia、MasterPassword、WindowMerge和HTTPFileUpload的其他插件。直接威脅用戶鍵盤記錄、屏幕截圖影響范圍在2024年7月6日-8月16日期間下載“ss-otr”插件的用戶參考鏈接https://www.b/news/security/malware-infiltrates-pidgin-messengers-official-plugin-repository/NuGet60事件名稱NuGet供應鏈攻擊中發(fā)現(xiàn)60個新惡意軟件包披露時間2024年7月事件描述ReversingLabsNuGet60290202310NuGet的MBuld集成轉變?yōu)槭褂肐Lvin（.NET編程技術，用于將簡單、混淆的下載器插入到PE（PortableExecutable）這些假冒包的最終目標是交付一個現(xiàn)成的遠程訪問木馬，名為SeroXenRAT。所有已識別的包已被下架。ILweavingNuGetPE.NET采用流行的開源包如個名為"G??a.UI3.W?nf?rms"的冒名包，該包使用同形異義字符替換字母"u"、"n"、"i"和"o"。直接威脅遠程控制計算機影響范圍該活動自2023年8月初以來一直活躍，包含700多個惡意包。參考鏈接https://www.r/blog/malicious-nuget-campaign-uses-homoglyphs-and-il-weaving-to-fool-devsLazarusnpm事件名稱疑似Lazarus組織利用加密相關的npm包發(fā)起供應鏈攻擊披露時間2023年12月事件描述202311npmnpmPEC2npm此外根據(jù)下載器的代碼特征關聯(lián)到背后攻擊者很可能是Lazarus組織。直接威脅遠程控制計算機影響范圍下載惡意npm包的計算機參考鏈接/s/f5YE12w3x3wad5EO0EB53Qhttps://blog.phylum.io/crypto-themed-npm-packages-found-delivering-stealthy-malware/LazarusPyPI事件名稱疑似Lazarus組織利用PyPI包發(fā)起供應鏈攻擊披露時間2023年8月事件描述20238PyPIPython”VMConnect”PythonPython者還為一些Python包創(chuàng)建了相應的Github項目，以增加可信度，而且Github上發(fā)布的代碼不包含PyPI發(fā)布包中的惡意內(nèi)容。安全研究人員根據(jù)多方信息認為該攻擊活動與Lazarus組織存在關聯(lián)。直接威脅遠程控制計算機影響范圍下載惡意PyPI包的計算機參考鏈接https://www.r/blog/vmconnect-malicious-pypi-packages-imitate-popular-open-source-moduleshttps://www.r/blog/vmconnect-supply-chain-campaign-continuesSDKAndroid事件名稱供應鏈攻擊利用惡意SDK滲透Android應用程序披露時間2023年6月事件描述2023年6月，研究人員發(fā)現(xiàn)了一組帶有惡意SDK的193個應用程序，估計有3000萬用戶受到這組額外應用程序的影響。SpinOk20235.AndroidSDKSDK101個GooglePlay421,290,300次。CloudSEK使用Dr.Web報告中提供的IoC發(fā)現(xiàn)了更多SpinOk感染，在發(fā)現(xiàn)另外92個應用后，惡意應用列表擴展到193個。其中大約一半可在GooglePlay上找到。些應用程序的開發(fā)人員很可能將惡意SDK誤認為是一個廣告庫，而沒有意識到它包含惡意功能。直接威脅竊取用戶文件影響范圍帶有惡意SDK的193個應用程序，估計有3000萬用戶受到這組額外應用程序的影響。參考鏈接https://www.c/cyber-hub/threat-prevention/what-is-malware/spinok-malware//show/?i=14705&lng=en/search/?q=Android.Spy.SpinOk&lng=en事件名稱PyTorch機器學習工具包使用者遭供應鏈攻擊披露時間2023年1月事件描述20231[2022-12-25]至除夕前一天[2022-12-30]期間遭受供應鏈攻擊。攻擊者主要在流行的Python包索引存儲庫PyPI上創(chuàng)建了一個名為torchtritonPythonPyPI儲庫中的官方版本。PyPI上的torchtriton包含一個惡意的triton二進制文件，GitSSH100064Linux環(huán)DNS作，最終實現(xiàn)竊取用戶數(shù)據(jù)目的。直接威脅用戶敏感數(shù)據(jù)失竊影響范圍2022-12-25至2022-12-30期間所有下載使用PyTorch的用戶。參考鏈接/2023/01/01/pytorch-machine-learning-toolkit-pwned-from-christmas-to-new-year/NPM事件名稱NPM供應鏈攻擊影響數(shù)百個網(wǎng)站和應用程序披露時間2022年7月事件描述20227月，ReversingLabsNPMJavascript1220多個NPM包，包含混淆的NPM包包含jQuery腳本，旨在從包含它們的已部署應用程序中竊取表單數(shù)17,000攻擊者冒充了高流量的NPM模塊，例如由ionic.io發(fā)布的umbrellajs和軟件包。這些明顯的惡意攻擊依賴于拼寫錯誤，這是一種攻擊者通過公共存儲庫提供名稱與合法軟件包相似或常見拼寫錯誤的軟件包的技術。直接威脅用戶表單數(shù)據(jù)收集影響范圍2021-12至2022-7期間所有下載惡意包的用戶。參考鏈接https://www.r/blog/iconburst-npm-software-supply-chain-attack-grabs-data-from-apps-websites針對GitLabCI事件名稱針對GitLabCI管道的供應鏈攻擊事件披露時間2022年5月事件描述2022510Rut依賴社區(qū)存儲庫中發(fā)現(xiàn)了一個惡意的ce（軟件包，名為“ralr_decalGITLAB_CIGitLab集成（CI）管道。如果變量被設置，則會下載并執(zhí)行一個名為/tmp/git-updater.bin的文件。這個文件是一個Go語言編寫的惡意程序，MythicPoseidonGitLabCI直接威脅遠程控制計算機影響范圍2022-03-25至2022-05-02期間所有下載惡意包名為“rustdecimal”的用戶。參考鏈接https://www.s/labs/cratedepression-rust-supply-chain-attack-infects-cloud-ci-pipelines-with-go-malware//2022/05/10/malicious-crate-rustdecimal.htmlNPM事件名稱“全自動”NPM供應鏈攻擊披露時間2022年3月事件描述20223NPMNPMD-NM用戶賬戶，并在傳遞了大約800個惡意包。直接威脅數(shù)據(jù)泄露影響范圍所有通過npm下載安裝了上述軟件包的用戶參考鏈接/blog/a-beautiful-factory-for-malicious-packages//blog/webhook-party-malicious-packages-caught-exfiltrating-data-via-legit-webhook-services/針對Npmua-parser-js事件名稱針對Npm倉庫ua-parser-js安裝包的供應鏈攻擊事件披露時間2021年10月事件描述20211022Npmua-parser-jsua-parser-jsWindowsLinuxDanabotshell命令，更新C2FTPua-parser-js0.7.29ua-parser-js0.8.0ua-parser-js1.0.0NPM同源安裝包投毒攻擊，且本次供應鏈攻擊活動使用資產(chǎn)與近期Matanbuchus直接威脅感染挖礦木馬、竊密木馬影響范圍ua-parser-js庫的使用者參考鏈接/s/GruXpE5YHXwKa4FTYd5fTAPyPI事件名稱PyPI代碼庫惡意軟件包供應鏈攻擊事件披露時間2021年7月事件描述20217PyPIPyPI3PyPIPythonIndexPythonpipBase64和DiscordGithub（意代碼傳播出去，從而構成典型的軟件供應鏈攻擊。直接威脅遠程控制、用戶信息收集、重要登錄憑證被盜等影響范圍相關惡意代碼在從PyPI網(wǎng)站刪除之前約有3萬次下載參考鏈接/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code//s/PMc8yjVdPtFy1b4RlWu9kg利用NPM事件名稱利用NPM包管理工具的供應鏈投毒攻擊披露時間2020年10月事件描述202010151000Plutov-slackNodetest199nodetest1010npmpubmanshellnpmpubman2016npmPypi2019年6npm種子以及登錄密碼。直接威脅受害者計算機被攻擊者遠控、重要登錄憑證被盜、資產(chǎn)被盜等影響范圍所有通過npm下載安裝了上述軟件包的用戶參考鏈接https:///news/security/npm-nukes-nodejs-malware-opening-windows-linux-reverse-shells//post/185397814280/plot-to-steal-cryptocurrency-foiled-by-the-npmWinnti事件名稱Winnti：針對亞洲游戲廠商的供應鏈攻擊事件披露時間2019年3月事件描述20193月，ESETCRuntime初始化的標準調(diào)用（scrt_common_main_seh）之前就啟動植入的惡意代碼主要具有以下功能：DllC2URLWin64/Winnti.BN直接威脅用戶信息搜集，遠程控制影響范圍受害者基本都位于亞洲，泰國受影響范圍最廣，受害者分布餅圖如下：參考鏈接https://www.w/2019/03/11/gaming-industry-scope-attackers-asia/CCleaner被植入后門代碼事件事件名稱CCleaner被植入后門代碼事件披露時間2017年9月事件描述2017918PiriformCCleanerversion5.33.6162CCleanerCloudversion1.07.319132CCleaner是獨立的軟件工作室PiriformWindows20042CCleanerCRT環(huán)境中開發(fā)的程序極有可能都被植入木馬程序，而被植入了惡意代碼的CCleaner1CRTscrt_get_dyn_tls_init_callback()中插2（等）加密編碼后通過HTTPS協(xié)議的POST請求嘗試發(fā)送到遠程IP：26165843HTTPHOTirirm，3IPDGAXshell事件。直接威脅用戶信息搜集，遠程控制影響范圍C&C染用戶在萬級參考鏈接/blog/articles/in-depth-analysis-of-ccleaner-malware/blog/articles/announcement-of-ccleaner-malware//learning/detail/4448.htmlPyPI事件名稱PyPI第三方軟件存儲庫被污染事件披露時間2017年9月事件描述PythonPyPI，PyPIpip20179在PyPI（Python稱拼寫錯誤，使其看起來和真的一樣，然后上傳到PyPI中。例如使用“biPI類型的安全檢查或審計，因此攻擊者向其庫上傳新模塊時并沒有什么阻礙，但使用者稍不留神，就會將惡意庫加載到其軟件的安裝腳本中。69月：–acqusition (uploaded 2017-06-03 01:58:01, acquisition)–apidev-coop (uploaded 2017-06-03 05:16:08, apidev-coop_cms)–bzip(uploaded2017-06-0407:08:05,impersonatesbz2file)–crypt(uploaded2017-06-0308:03:14,impersonatescrypto)–django-server (uploaded 2017-06-02 08:22:23, django-server-guardian-api)–pwd(uploaded2017-06-0213:12:33,impersonatespwdhash)–setup-tools (uploaded 2017-06-02 08:54:44, setuptools)–telnet(uploaded2017-06-0215:35:05,impersonatestelnetsrvlib)–urlib3(uploaded2017-06-0207:09:29,impersonatesurllib3)–urllib(uploaded2017-06-0207:03:37,impersonatesurllib3)直接威脅用戶信息搜集影響范圍207000計此次攻擊事件中的10個惡意庫被下載次數(shù)在十萬級參考鏈接.sk/skcsirt-sa-20170909-pypi/Xcode事件名稱Xcode非官方版本惡意代碼污染披露時間2015年9月事件描述Xcode是由蘋果公司發(fā)布的運行在操作系統(tǒng)MacOSXSX和S2015914XcodeXGXcode注入病毒XcodeGhost傳播途徑主要是通過非官方下載的Xcode傳播，通過CoreService庫文XcodeApp都將被注入病毒代碼，從而產(chǎn)生眾多攜帶病毒的APP。直接威脅用戶信息搜集，彈窗釣魚，遠程控制影響范圍692APP網(wǎng)易云音樂等著名應用。參考鏈接/learning/detail/670.html/response/xcodeghost.html源代碼污染XshellByBit事件名稱ByBit加密貨幣交易所供應鏈攻擊盜竊虛擬貨幣事件披露時間2025年2月事件描述朝鮮黑客組織aear{ae}Bit4202522getstockprice[.]comC224PythonMythicC2Poseidon25217C2219Next.jsJavaScriptByBit22140ETH除惡意負載。直接威脅巨額加密貨幣盜竊、供應鏈破壞、開發(fā)者工作站完全控制、AWS環(huán)境入侵影響范圍Safe{Wallet}開發(fā)者及客戶、ByBit交易所用戶，造成近15億美元損失參考鏈接https://www.elastic.co/security-labs/bit-bybit/slow-pisces-new-custom-malware/FreeFix事件名稱FreeFix勒索軟件通過感染易語言模塊攻擊事件披露時間2025年3月事件描述FreeFix""".ec"或"當開發(fā)者不慎下載并加載這些被感染的模塊后，惡意代碼會立即開始執(zhí)行。首先會對運行環(huán)境進行檢測，判斷當前是否具有管理員權限。如果發(fā)現(xiàn)權限不足，會嘗試通過各種提權技術獲取更高權限。在獲取足夠權限后，惡意代碼會從資源中釋放Free_EXE勒索軟件本體并執(zhí)行。（e（c壞性。直接威脅文件加密勒索、源代碼竊取、開發(fā)環(huán)境感染、惡意代碼傳播影響范圍易語言開發(fā)者及使用受影響模塊編譯的軟件用戶參考鏈接/s/MG4JTM_k38FXMGSz4WRtEQGitHubActions事件名稱GitHubActions供應鏈攻擊與令牌竊取事件披露時間2025年3月事件描述攻擊者通過SpotBugspull_request_target者令牌，隨后橫向入侵reviewdog和tj-actions倉庫。攻擊者篡改reviewdog/action-setupv123,000CoinbaseCI/CD直接威脅CI/CD令牌泄露、供應鏈投毒、惡意代碼執(zhí)行、企業(yè)敏感信息泄露影響范圍SpotBugsreviewdogtj-actions23,000GitHub括Coinbase等知名企業(yè)參考鏈接/github-actions-supply-chain-attack//2025/04/spotbugs-access-token-theft-identified.html事件名稱汽車經(jīng)銷商供應鏈攻擊披露時間2025年3月事件描述100三方視頻服務（LESAutomotive。攻擊者篡改了該服務提供的特定Jarit文件（levide_srperell直接威脅（ec息泄露。影響范圍使用受感染第三方視頻服務（LESAutomotive）超過100家汽車經(jīng)銷商及其網(wǎng)站訪客。參考鏈接https://rmceoin.github.io/malware-analysis/2025/03/13/supply-chain.html35個GoogleChrome事件名稱35個GoogleChrome擴展程序遭到劫持披露時間2024年12月事件描述Chrome35Cyberhaven2024125BleepingComputer20243GoogleChromeStoreChrome程序以包含兩個惡意文件，即“res”和“es賬戶竊取數(shù)據(jù)的代碼。被劫持的擴展程序隨后作為“新”版本Chrome。對受感染機器的分析表明，攻擊者的目標是被感染擴展程序用戶的Facebook賬戶。數(shù)據(jù)竊取代碼試圖獲取用戶的FacebookID、訪問令牌、賬戶信息、廣告賬戶信息和商業(yè)賬戶。直接威脅竊取使用惡意擴展的用戶的敏感信息影響范圍Chrome擴展程序開發(fā)人員、使用受污染Chrome擴展程序的用戶參考鏈接https://www.b/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/https://www.b/news/security/cybersecurity-firms-chrome-extension-hijacked-to-steal-users-data/Notezilla、RecentXCopywhiz事件名稱Notezilla、RecentX以及Copywhiz程序遭到供應鏈攻擊披露時間2024年6月事件描述2024年6月18日，Rapid7調(diào)查發(fā)現(xiàn)客戶環(huán)境中的可疑活動源于Notezilla的安裝。Notezilla的安裝程序以及名為RecentX和Copywhiz的工具由印度公司Conceptworld在官方域名conceptworld[.]com下分發(fā)。分析了這三個程序的安裝包后，Rapid7發(fā)現(xiàn)安裝程序已被木馬化以執(zhí)行信息竊取惡意軟件，該惡意軟件能夠下載和執(zhí)行其他有效負載。Rapid7觀察到的后續(xù)惡意軟件具有竊取瀏覽器憑據(jù)和加密貨幣錢包信息、記錄剪貼板內(nèi)容和按鍵以及下載和執(zhí)行其他有效負載的功能。直接威脅竊取瀏覽器憑據(jù)和加密貨幣錢包信息、記錄剪貼板內(nèi)容和按鍵影響范圍從conceptworld[.]com下載Notezilla、RecentX和Copywhiz的用戶參考鏈接https://www.r/blog/post/2024/06/27/supply-chain-compromise-leads-to-trojanized-installers-for-notezilla-recentx-copywhiz/ViewerRustDoor事件名稱JAVSViewer供應鏈攻擊部署RustDoor披露時間2024年5月事件描述20245JusticeSolutionsViewerViewerSetup50-1.exeAuthenticode簽名進行數(shù)字簽名，并包含一個名為rllRap7將ee與GeDr/RustdoorJusticeSolutions)（Viewer10,000Rapid7或。直接威脅XZUtilsOpenSSHliblzma泄露的風險。影響范圍安裝JAVSViewerv8.3.7的用戶參考鏈接/163683/hacking/supplay-chain-attack-javs-viewer.htmlXZUtils事件名稱開源壓縮組件XZUtils植入后門事件披露時間2024年3月事件描述2024329UtilsXZUtils是一個廣LinuxXZUtils的5.6.0和5.6.1SSHliblzmaOpenSSHOpenSSH。liblzmaliblzmaliblzmaXZUtilsGithubJiaT75Github2021110XZUtilsJiaT75XZUtils2022UtilsLasseCollinJiaT751影響的XZUtils版本5.6.0和5.6.1。直接威脅XZUtilsOpenSSHliblzma泄露的風險。影響范圍使用XZUtils5.6.0和5.6.1的軟件或服務參考鏈接https://www.z/blogs/security-research/cve-advisory-cve-2024-3094-security-compromise-xz-utils/s/RSRwJf2HpoxBLrV5C6sbeg/s/qWD7ZQzJUgMGyOz7ILpMjA/xz-backdoor-story-part-1/112354//xz-backdoor-story-part-2-social-engineering/112476/Lazarus事件名稱Lazarus修改訊連科技的應用程序以進行供應鏈攻擊披露時間2023年11月事件描述202311DiamondSleet(ZINC)即Lazarus(CyberLinkCorp.)/地區(qū)的100多臺設備，包括日本、臺灣、加拿大和美國。直接威脅遠程控制計算機影響范圍包括日本、臺灣、加拿大和美國在內(nèi)多個國家/地區(qū)的100多臺設備。參考鏈接https://www.m/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/UNC4899SaaS事件名稱朝鮮UNC4899利用SaaS提供商進行有針對性的供應鏈攻擊披露時間2023年7月事件描述2023年7Consulting的一個下游客戶，2023年6月27日18:51:57UTC，Mandiant在該客戶處發(fā)現(xiàn)了通過JumpCloud代理執(zhí)行的惡意RubyJumpCloudJumpCloud5名客戶和不到10臺設備。持續(xù)的直接威脅遠程控制計算機影響范圍JumpCloud不到5名客戶和不到10臺設備參考鏈接/blog/topics/threat-intelligence/north-korea-supply-chain//blog/security-update-incident-details3CX事件名稱X_Trader供應鏈攻擊：3CX供應鏈攻擊事件的根源披露時間2023年4月事件描述2023年3月，MandiantConsulting對影響3CX桌面應用軟件的供應鏈入侵事件做出了響應。在此次響應中，Mandiant發(fā)現(xiàn)3CX網(wǎng)絡的初始入侵媒介是通過從TradingTechnologies網(wǎng)站下載的惡意軟件。這是Mandiant首次發(fā)現(xiàn)軟件供應鏈攻擊導致另一次軟件供應鏈攻擊。X_Trader供應鏈攻擊始于2022年，一名員工在電腦上安裝了TradingTechnologiesX_TRADER軟件。盡管X_TRADER安裝軟件是從TradingTechnologies網(wǎng)站下載的，但執(zhí)行安裝后會通過復雜的加載過程部署多階段模塊化后門VEILEDSIGNAL及其模塊。VEILEDSIGNALVEILEDSIGNAL工系統(tǒng)中竊取了3CX公司憑證的情況。直接威脅遠程控制計算機影響范圍3CX；美國和歐洲的兩家能源領域關鍵基礎設施組織；兩家涉及金融交易的組織。參考鏈接/blog/topics/threat-intelligence/3cx-software-supply-chain-compromise/https://www.3cx.com/blog/news/mandiant-security-update2//threat-intelligence/xtrader-3cx-supply-chain3CX事件名稱3CX供應鏈攻擊事件披露時間2023年3月事件描述202333CXWindows客3CXmacOSWindows和macOS3CX3CXMandiant（Google3CXWindowsmacOS3CXLazarus關聯(lián)。直接威脅遠程控制計算機影響范圍3CXWindowsmacOS3CXWindows18.12.416，macOS18.12.402、18.12.407和18.12.416。參考鏈接/s/HC4JqY7mZ5bLRj48PRj24Ahttps://www.v/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident//blog/a-comprehensive-analysis-of-the-3cx-attack//blog/blog_0x73.htmlhttps://www.w/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack//blog/topics/threat-intelligence/3cx-software-supply-chain-compromise/事件名稱數(shù)百家美國新聞網(wǎng)站在供應鏈攻擊中推送惡意軟件披露時間2022年11月事件描述202211ThreatResearch這家媒體公司通過Javascript向其合作伙伴提供內(nèi)容，攻擊者將惡意代碼注入新聞媒體網(wǎng)站加載的良性JavaScript文件中。惡意JavaScript文件用于安裝SocGholish，它會通過虛假的更新警報，將惡意軟件負載偽裝成以ZIP存檔形式發(fā)送的虛假瀏覽器更新，從而感染訪問受感染網(wǎng)站的用戶。SocGholish是一種“初始訪問威脅”，如果成功植入，歷史上它就是勒索軟件的前兆。Proofpoint250（特區(qū)等地。直接威脅遠程控制、信息竊取、勒索攻擊影響范圍總共有250多個美國新聞機構的網(wǎng)站上安裝了該惡意軟件參考鏈接https://www.b/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack//threatinsight/status/1587865920130752515事件名稱折翼行動：全球第三大比特幣礦機廠商遭遇供應鏈攻擊事件披露時間2021年9月事件描述2021年9月26日，毒霸安全團隊披露了一起疑似針對礦機廠商的供應鏈攻擊事件。全球知名礦機品牌"翼比特"官網(wǎng)的礦機管理工具"EbiteMinerMini"被植入后門代碼，通過多組"白利用"隱蔽裝載CobaltStrike遠控木馬，隨后下發(fā)鍵盤記錄插件keylogger進行定向竊密。202146108"白利用"payload和CobaltStrike內(nèi)存馬，隨后通過推送CobaltStrike的后階模塊鍵盤記錄插件。攻擊團伙目的顯而易見，通過鍵盤記錄竊取分析目標礦場直接威脅遠程控制、鍵盤竊密、竊取虛擬貨幣影響范圍2021年4月到9月之間使用礦機管理工具"EbiteMinerMini"的礦機用戶參考鏈接/s/suQCrCGcbRL1eOaVvQquAgHTTPwrk事件名稱HTTP服務壓測開源工具wrk供應鏈攻擊事件披露時間2021年5月事件描述2021531HTTPwrk進行軟件源投毒的供應鏈。其官方倉庫的安裝指引頁面被用戶提交commit修改，添加第三方軟件源引入了不可信的軟件包。經(jīng)分析，問題出在第一條命令，這是一個添加軟件源的操作。通過寫入crontab配置文件，植入后門命令。在VT上完全免殺。植入的惡意代碼主要具有以下功能通過curl請求獲取指令并傳遞給Bash進行執(zhí)行。某個功能是下載并且安裝了一個名為fsstrim的服務，而fsstrim是一個挖礦木馬程序。軟件源網(wǎng)站上的安裝包，僅能通過yum安裝時，網(wǎng)站才會返回惡意程序。直接威脅任意命令執(zhí)行，挖礦影響范圍Github上有近三萬Star數(shù)量參考鏈接/index.php/blog/msg/192SolarWinds事件名稱流行網(wǎng)管軟件廠商SolarWinds遭供應鏈攻擊事件披露時間2020年12月事件描述SolarWinds309成的世界500強企業(yè)。20201213UNC2452（APTSolarWindsSolarWindsOrionDGA先公開了相關解碼算法，確定了全球多個受害者。直接威脅用戶信息搜集,遠程控制影響范圍20203202062019.4DGA百家企業(yè)受到影響。參考鏈接/s/ms7u5PtvU36M3aYbTo2F5ASignSight事件名稱SignSight行動：針對東南亞認證機構的供應鏈攻擊披露時間2020年12月事件描述202012（VGCA）的新供應鏈攻擊，該攻擊破壞了該機構的數(shù)字簽名工具包，在受害者系統(tǒng)上安裝了后門。2020723816及兩個安裝程序“gca01-client-v2-x32-8.3.msi”和“a01-ciev2-48”（264位isGCAPhantomNetPhantomNet()額外的惡意能力。直接威脅用戶信息搜集,遠程控制影響范圍2020年8月到12月之間在.vn下載過受感染程序的用戶參考鏈接https://www.w/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/OSSGithub事件名稱OSS供應鏈攻擊：針對Github中JAVA項目的定向攻擊披露時間2020年5月事件描述20203月，GitHubNetBeansNetBeans構建的所有JAR植入惡意軟件加載器，以確保項目運行時會釋放出一個遠程管理工具（RT在整個攻擊過程中，按照不同的功能分為多個模塊：ocs.txt主要功能octopus.dat1.Netbeansnbproject/build-impl.xmlcache.dat為最終的url的class文件，按照與前面相同的方法設置class腳本自啟動，之后將本機系統(tǒng)信息和用戶名發(fā)送給服務端。classURLClassLoaderURLclassmain者系統(tǒng)中執(zhí)行任意的JAVA程序，實現(xiàn)針對不同用戶定制化攻擊的目的。直接威脅對開源項目攻擊植入惡意代碼，對開發(fā)者開發(fā)的所有應用程序感染影響范圍所有使用了在產(chǎn)品中引用了該GitHub代碼的用戶參考鏈接/research/octopus-scanner-malware-open-source-supply-chainphpStudy事件名稱phpStudy供應鏈攻擊披露時間2019年9月事件描述phpStudyPHPApachePHPMySQLphpMyAdminZendOptimizerPHP環(huán)境調(diào)試和PHPPHP2018年12月4日，西湖區(qū)公安分局網(wǎng)警大隊接報案稱，某公司發(fā)現(xiàn)202019145767賬號密碼類、聊天數(shù)據(jù)類、設備碼類等數(shù)據(jù)10萬余組。年以來影響國內(nèi)的最大供應鏈攻擊事件。在對涉案存在后門的phpStudy版本進行分析后，并結合網(wǎng)上安全人員研究，發(fā)現(xiàn)模塊php_xmlrpc.dll直接威脅用戶信息搜集,遠程控制影響范圍phpStudy2016php5.4版本，鑒于phpStudy在國內(nèi)的流行性，受影響用戶可能達百萬級。參考鏈接/s/9kqvLPTwVktGmxrgyvUZZAStatCounter事件名稱針對StatCounter統(tǒng)計平臺的供應鏈攻擊事件披露時間2018年11月事件描述113StatCounter200100StatCounterURLc.php目的是竊取受害用戶的比特幣，它向比特幣轉賬頁面注入腳本，重定義了用戶點擊提交按鈕后的操作，把轉賬的目標地址自動替換為攻擊者所控制的賬戶，從而竊取受害者的比特幣資產(chǎn)。直接威脅比特幣被竊取影響范圍在gate.io網(wǎng)站進行比特幣轉賬的用戶參考鏈接https://www.w/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/Magecart事件名稱Magecart攻擊組織針對信用卡信息的竊取行動披露時間2018年7月事件描述20187RiskIQMagecart數(shù)字信用卡的竊取行動，受到影響的網(wǎng)站有Ticketmaster、BritishAirways、NeweggTicketmaster80020189MagecartShopperApproved，URL2019年1MaecartMaecatPayloadAdverlineJavaScript庫，目前已有277電子商務網(wǎng)站加載了惡意代碼。直接威脅信用卡信息竊取影響范圍上千個網(wǎng)站受到影響，潛在影響用戶百萬以上參考鏈接https://www.riski/blog/labs/magecart-ticketmaster-breach/https://security.ticketmaster.co.uk/https://www.riski/blog/labs/magecart-shopper-approved/ttack-delivered-through-compromised-advertising-supply-chain/Xshellbackdoor事件名稱遠程終端管理工具Xshell被植入后門代碼披露時間2017年8月14日事件描述Xshell是NetSarang公司開發(fā)的安全終端模擬軟件，2017年7月18nssock2.dll事件時間線:2017年8月7日流行遠程管理工具XshellNetSarang7182017年8月14日XshellBuild1322c2llDGA2017年8月15日87NetSarang處啟動執(zhí)行的情況。同日NetSarang87從后門代碼的分析來看，黑客極有可能入侵了相關開發(fā)人員的電腦，在源碼植入后門，導致官方版本也受到影響。并且由于dll文件已有官方簽名，眾多殺毒軟件依據(jù)白名單機制沒有報毒。該后門代碼可導致用戶遠程登錄的信息泄露。直接威脅用戶計算機中插入后門，竊取用戶遠程登錄信息影響范圍針對開發(fā)、運維人員，目前初步估計十萬級別用戶受影響參考鏈接/learning/detail/4278.html/shadowpad-in-corporate-networks/81432/廠商后門或漏洞軟件廠商在開發(fā)過程中出于方便測試或后續(xù)技術支持的考慮可能會預留一些超級管理事件名稱電商組件供應鏈后門攻擊事件披露時間2025年5月事件描述TigrenMagesolution（MGS）Meetanshi等電商2019-202221LicenseApi.phpadminLoadLicensePHP62025420500-1000家電商店鋪受到影響，包括一家400億美元的跨國公司。直接威脅服務器完全控制、任意代碼執(zhí)行、數(shù)據(jù)泄露、商戶和客戶信息被盜影響范圍使用受影響電商組件的500-1000家電商店鋪，包括大型跨國企業(yè)參考鏈接https://sansec.io/research/license-backdoorITBORNGroup事件名稱IT服務商BORNGroup遭遇重大供應鏈攻擊披露時間2024年7月事件描述CloudsekITBORNGroupIntelbrokerJenkinsCVE-2024-23897漏洞(LFI)竊取了SSHBORNGroup的GitHub196,000、Celcom、DeltaFaucet、SawMills、GourmetEgyptIntelbroker202210Jenkins)EnduranceC#名它們，然后刪除原始文件，且其源代碼可在GitHub存儲庫上公開獲取直接威脅數(shù)據(jù)泄露影響范圍泄露了約196,000人的個人信息參考鏈接https://www.c/blog/born-group-supply-chain-breach-in-depth-analysis-of-intelbrokers-jenkins-exploitation#Indicators-of-Compromise-IoCsClopMOVEit(CVE-2023-34362)事件名稱Clop利用MOVEit傳輸漏洞(CVE-2023-34362)竊取數(shù)據(jù)披露時間2023年6月事件描述ProgressSoftware于2023年5月31日警告稱，其MOVEit(MFT)SQLMOVEit2023年6月9ess發(fā)布了針對第二個漏洞E2330623年6月15日，又發(fā)布了針對第三個漏洞CVE-2023-35708的補丁。這兩個漏洞都很嚴重，可能使MOVEit平臺被進一步利用。隨后Clop在該組織的暗網(wǎng)上發(fā)布帖子，確認其對MOVEit平臺的攻擊負責。例如BBCBoots、Zellis）和政（明尼蘇達州教育部、新斯科舍省政府）證實受到了此次攻擊的影響。直接威脅數(shù)據(jù)泄露影響范圍Cl0p發(fā)起的MOVEit活動影響了近1,000個組織和6000萬個人參考鏈接https://www.emsiso/en/blog/44123/unpacking-the-moveit-breach-statistics-and-analysis/https://www.s/nearly-1000-organizations-60-million-individuals-impacted-by-moveit-hack/https://www.s/up-to-11-million-people-hit-by-moveit-hack-at-government-services-firm-maximus/RealtekSDK事件名稱RealtekSDK漏洞攻擊凸顯物聯(lián)網(wǎng)供應鏈威脅披露時間2023年1月事件描述PaloAltoNetworks的Unit422022810RealtekJungleSDK40%2022121.3497%8IoT由于許多物聯(lián)網(wǎng)供應商在各種不同的產(chǎn)品中使用Realtek芯片組，CVE-2021-3539466190Unit42202212IoTIoTMirai、GafgytMoziGolang絕服務（DDoS）僵尸網(wǎng)絡，名為RedGoBot。直接威脅傳播僵尸網(wǎng)絡，DDoS攻擊。影響范圍研究人員注意到易受易受攻擊的物聯(lián)網(wǎng)網(wǎng)絡設備至少56臺。參考鏈接/realtek-sdk-vulnerability//network-security-trends-aug-oct-2022//vuln/detail/CVE-2021-35394Arris事件名稱Arris為AT&T家庭用戶定制版調(diào)制解調(diào)器內(nèi)置后門事件披露時間2017年8月事件描述20178Arris53NomotionSSHremotessh/5SaP9I26后門#2Arris調(diào)制解調(diào)器有個內(nèi)置Web服務器，攻擊者通過49955端口使用“tech/空”賬號密碼即可訪問后臺管理面板。命令注入服Shell后門#3攻擊者可以使用賬號密碼“bdctest/bdctest”賬號密碼在61001端口訪問設備，前提是需要知道設備的序列號。防火墻繞過49152HTTPArrisNVG589、ArrisNVG599Arris（。NoinT入網(wǎng)設備。直接威脅可被攻擊者直接登錄獲得root權限影響范圍研究人員認為目前在線的易受漏洞攻擊調(diào)制解調(diào)器至少有22萬臺參考鏈接/s/QmNd9J84q7ZuWyrihUZBTg事件名稱惠普筆記本音頻驅動內(nèi)置鍵盤記錄后門事件披露時間2017年5月事件描述20175的研究人員在檢查WindowsActiveDomain開發(fā)的音頻驅動中從而控制特殊鍵如鍵盤上的Media鍵。研究人員指出，惠普的缺陷代碼（CVE-2017-8360）實現(xiàn)不良，它不多敏感信息如用戶登錄數(shù)據(jù)和密碼，其它用戶或第三方應用程序都可訪2015630HPElitebook800系列、EliteBookFolioG1、HPProBook600和400系