2025软硬件产品供应链攻击分析报告.pdfVIP

软硬件产品供应链攻击分析报告

目录

软硬件产品供应链攻击分析报告1

摘要2

概述2

软硬件供应链相关概念3

概念和环节划分3

灰色软件供应链4

攻击场景与案例分析4

开发环节4

开发工具污染5

源代码污染22

厂商后门或漏洞35

交付环节42

捆绑下载42

下载劫持48

物流链劫持51

使用环节53

升级劫持53

访问凭证窃取64

服务污染65

综合分析67

事件信息展示图67

主要发现与结论69

对策建议69

最终用户70

软硬件厂商71

安全厂商71

参考链接72

摘要

2025年8月，与勒索组织ShinyHunters有关联的攻击团伙GRUB1（又称UNC6395）通

过入侵Salesloft的Drift应用程序，窃取OAuth令牌，然后成功获取到与Drift连接的Salesforce

实例的访问权限。攻击者声称从760家公司窃取了超过1.5亿Salesforce记录，此次攻击的

受害者还包括PaloAltoNetworks、Zscaler和Cloudflare等网络安全行业的领军企业。

2025年2月21日，大型加密货币交易所Bybit被发现遭窃取价值近15亿美元的加密货

币，事后调查发现该攻击由Lazarus所为。此次窃案源自供应链攻击，Bybit交易使用

Safe{Wallet}团队提供的签名机制，而Safe{Wallet}开发人员机器被Lazarus入侵，攻击者通过

篡改Safe{Wallet}的前端JavaScript文件，注入恶意代码，修改Bybit的multisig交易，将资金

重定向到攻击者地址。

2024年9月，黎巴嫩地区大量寻呼机被同时引爆，次日再次发生对讲机等通讯设备批

量爆炸事件，两轮爆炸共计造成数千人受伤，多人死亡。后续调查表明这些由黎巴嫩真主党

采购的通讯设备在交付前已被篡改，修改后的通讯设备可以接受特定的远程指令，然后触发

内部植入的爆炸装置。

2024年9月17日黎巴嫩地区被炸毁的寻呼机

这类来源于供应链并最终造成巨大危害的安全事件其实并不少见，在本报告中，奇安信

威胁情报中心对涉及信息技术领域软硬件产品的供应链概念进行了梳理，分析了各环节中已

有的事件实例，最后提供一些从供应链安全角度对威胁进行防护的对策和建议。

概述

2025年8月，勒索组织通过入侵Drift应用，获取到认证令牌，进而访问到与之关联的

Salesforce数据系统，导致多家企业数据被泄露。2025年2月的Bybit加密货币交易所大劫

案与其使用的签名服务代码被攻击者植入恶意功能有关。

2024年9月黎巴嫩寻呼机等通讯设备爆炸事件背后是攻击者对真主党设备供应链的劫

持和渗透，将原本普通的电子设备转变成可远程操控的杀伤武器。2024年3月曝光的XZUtils

后门事件揭示了开源代码面临的风险，攻击者潜伏在XZUtils项目中两年，伪装为活跃的代

码贡献者，并通过社交工程学手段获得XZUtils代码仓库的直接维护权限，为最后植入后门

铺平道路。XZUtils事件不是开源代码供应链攻击的唯一例子，一些攻击团伙还将包含恶意

代码的Python模块或Npm库上传到第三方库管理平台，对下载并使用这些恶意第三方库的

代码开发人员发动攻击。

2023年3月，音视频会议软件3CX官方发布的Windows和macOS新版本客户端被发现

植入木马，影响全球多家企业。后续调查显示，攻击者是通过另一起供应链攻击进入3CX

的软件构建环境，多家安全厂商认为3CX攻击事件与APT组织Lazarus有关。2020年12月，

多家欧美媒体报道美国多个重要政企机构遭受了国家级APT组织的入侵，攻击疑似由于