供應鏈攻擊推動網絡犯罪經濟"自我強化"循環

網絡犯罪分子正在將供應鏈攻擊發展為工業規模的運營模式，將數據泄露、憑證盜竊和勒索軟件攻擊連接成一個"自我強化"的生態系統。

研究機構Group-IB在其最新趨勢報告中指出，導致企業遭受更廣泛下游威脅的個別攻擊現在已經相互關聯，網絡犯罪分子采用多種方法來攻破供應商和服務提供商。

像近期的Shai-Hulud NPM蠕蟲、Salesloft事件或OpenClaw軟件包投毒等供應鏈攻擊，正迅速成為犯罪集團的主要目標，他們試圖利用繼承的訪問權限來攻擊受害者的客戶。

研究報告指出："開源軟件包的妥協助長了惡意軟件傳播和憑證盜竊。釣魚攻擊和OAuth濫用導致身份妥協，從而解鎖SaaS和CI/CD環境。數據泄露提供了改進冒充和橫向移動所需的憑證、上下文和關系。勒索軟件和敲詐出現在攻擊鏈的后期，利用早期收集的訪問權限和情報。每個階段都會增強下一個階段，形成供應鏈利用的自我強化循環。"

Group-IB預測，在未來一年內，供應鏈攻擊的執行速度將會加快，這得益于基于生成式AI的輔助工具，這些工具能夠以機器速度掃描供應商、CI/CD管道和瀏覽器擴展市場中的漏洞。

該機構還預期傳統惡意軟件將被身份攻擊所取代，犯罪分子將自己偽裝成合法用戶，他們的活動融入正常的日常業務功能中，從而能夠更長時間地規避檢測。

Group-IB表示，提供人力資源、客戶關系管理和企業資源規劃平臺的公司，以及托管服務提供商，都是高優先級目標，因為單一的妥協就可能導致黑客獲得數百個客戶的訪問權限。

Salesloft泄露事件以及2025年3月的Oracle妥協事件，都是數據泄露從單一回報模式轉向利用訪問權限進行額外妥協模式的例子。

犯罪分子不再采取獲取大量數據并要求敲詐付款的方式，而是花時間收集OAuth令牌，利用配置錯誤的合作伙伴連接進行橫向移動。然后他們瞄準下游客戶，竊取數據和聯系人列表以重復這個循環，或者在涉及NPM和類似生態系統的案例中，向用戶提供惡意更新以大規模實施欺詐。

Group-IB首席執行官德米特里·沃爾科夫表示："網絡犯罪不再由單一泄露事件定義，而是由信任的連鎖失敗來定義。攻擊者正在將供應鏈妥協產業化，因為這能帶來規模、速度和隱蔽性。現在單一的上游泄露可能波及整個行業。防護者必須停止以孤立系統的思維模式思考，開始保護信任本身，涵蓋每個關系、身份和依賴關系。"

組織應該將第三方視為自身攻擊面的延伸。沃爾科夫說："在供應鏈威脅建模、自動化依賴檢查和數據流可視性方面的戰略投資不再是可選的，它們是現代安全架構的基礎。"

Q&A

Q1：什么是供應鏈攻擊的"自我強化"循環？

A：這是指網絡犯罪分子將數據泄露、憑證盜竊和勒索軟件攻擊連接成一個生態系統，每個攻擊階段都會增強下一個階段。開源軟件包妥協助長惡意軟件傳播，釣魚攻擊解鎖系統環境，數據泄露提供進一步攻擊所需信息，最后實施勒索，形成循環。

Q2：生成式AI如何影響供應鏈攻擊？

A：生成式AI輔助工具能夠以機器速度掃描供應商、CI/CD管道和瀏覽器擴展市場中的漏洞，大大加快供應鏈攻擊的執行速度。同時，犯罪分子可能利用AI技術進行更精準的身份偽裝，使其攻擊活動更好地融入正常業務流程。

Q3：企業應該如何防護供應鏈攻擊？

A：企業應將第三方供應商視為自身攻擊面的延伸，停止孤立系統的思維模式。需要進行戰略投資，包括供應鏈威脅建模、自動化依賴檢查和數據流可視性，這些已成為現代安全架構的基礎要素，而非可選項目。