微闻

标签: 投毒

  • OneInStack 供应链投毒 Nginx

    OneInStack 疑似供应链投毒 Nginx

    起因是运维在服务器上部署业务时,使用了 OneInStack 一键网站部署工具。该工具在安装过程中,从恶意的镜像节点下载了被恶意篡改的 nginx 源码包。之后 nginx 被编译安装和运行,导致服务器被植入后门。

    我们确认本次入侵攻击者使用的后门家族为 Noodle RAT。根据趋势科技发布的安全报告,使用该恶意软件的攻击组织主要活动在亚太地区,以间谍活动或经济利益为目的开展入侵活动。

    根据已有 LNMP 投毒案例和 OneInStack 投毒案例,结合服务器上的样本。这次的入侵攻击者使用与 LNMP 中 nginx 恶意代码一致。由于缺少服务器下载 nginx 安装包的网络日志。没有直接证据表明 nginx 来自恶意的 OneInStack 镜像节点。但从感染方式来说与此前的 OneInStack 投毒案例高度一致。因此我们评估这次攻击者依然使用 OneInStack 投毒的手法,对所有国内的 OneInStack 用户进行攻击。由于我们掌握的 IoC 缺少其他关联线索,暂时无法确定相关的攻击组织。

    —— Desync InfoSec

    编注:去年继 LNMP[.]org 后 oneinstack 也被金华市矜贵网络科技有限公司收购,10月 V2EX 网友发现 Oneinstack 国内下载源被挂马。

  • GoEdge被投毒变成了真正的 CDN商

    又一个自建CDN工具 GoEdge 出现“官方”投毒现象

    从超哥(其开发者)写出 GoEdge 至今,版本更迭到 v1.3.9 。这套 CDN 系统被许多 CDN 商家采用,毕竟它开源又免费,却在今年 4 月被请去喝茶后,goedge[.]cn 便重定向至 goedge[.]cloud ,而 goedge[.]cn 的备案号被注销、转出,甚至 whois 主体发生变化。

    而超哥在 QQ 群的最后消息为 2024 年5月20日。之后5月24日发布的包中则带有上文提到的 cdn[.]jsdelivr[.]vip 的内容于节点( edge-node )的二进制文件中,一直到今日发版的 v1.4.1 。查了一下 cdn[.]jsdelivr[.]vip 的 cname 指向,猜测和方能那伙人是同一伙。可以说 js 代码跳 h 站就是这群人干的。

    有群友发现 GoEdge v1.3.9 的编译环境为 go1.21.10 ,与目前最新版的环境不同。故引发大家对 GoEdge 被出售的猜测。而超哥用于销售商业版的淘宝店铺关闭,转而要客户前往 Telegram 进行购买。据群友所描述,客服态度怠慢。

    有群友进行二进制分析,发现 edge-node v1.4.1 版本二进制文件中存在上述恶意代码。但 GoEdge 客服在其 Telegram 群中表示“不信谣不传谣”后开始踢人。随后对 v1.4.1 重新编译,发布了无毒版本的 GoEdge v1.4.1。由于许多人在使用该产品的时候,时不时跳 h 站。若您是 2024 年 5 月 24 日之后安装的 v1.3.9 (或更高版本),请立即更新。虽然刚刚官方发了 v1.4.1 的修正版本,一旦信任崩塌就难以重建。

    · 扩展阅读:探寻 Staticfile、BootCDN、Polyfill 投毒背后的始作俑者

    —— V2EX Nyarime

  • LNMP遭受供应链投毒攻击

    安恒信息CERT监测到一起LNMP遭受供应链投毒攻击事件

    近日,安恒信息 CERT 监测到一起 LNMP 遭受供应链投毒攻击事件。我们发现,在 lnmp.org 官方网站下载的安装包中被植入了恶意程序。至今,大部分威胁情报平台尚未标记相关的恶意 IoC 情报。建议近期在 lnmp.org 官网下载并部署 LNMP 的 RedHat 系统用户进行自查。

    —— 安恒信息微信公众号