CSDN等多个网站被挂马 疑似CDN供应链攻击
奇安信威胁情报中心在日常监控中观察到恶意域名的访问量从9月初陡增,持续到9月底,在此期间并没有观察到可疑的 payload,只有一些奇怪的 js,之后进入了一段时间的潜伏期。直到10月底开始爆发,并且观察到恶意的 payload 程序。网络日志显示在请求上述 URL 时的 Referer 字段都是 CSDN 的正常博客,非常奇怪。
基于相关日志最终确认 CSDN 被挂马,并且成功复现。基于奇安信全球鹰测绘数据,国内大量网站正文页面中包含该恶意域名,其中包含政府、互联网、媒体等网站。所涉及的域名均挂有 CDN,对应IP也都为 CDN 节点,由于缺乏大网数据,只能推测 CDN 厂商疑似被污染。
—— 蓝点网、奇安信威胁情报中心