OneInStack 疑似供应链投毒 Nginx
起因是运维在服务器上部署业务时,使用了 OneInStack 一键网站部署工具。该工具在安装过程中,从恶意的镜像节点下载了被恶意篡改的 nginx 源码包。之后 nginx 被编译安装和运行,导致服务器被植入后门。
我们确认本次入侵攻击者使用的后门家族为 Noodle RAT。根据趋势科技发布的安全报告,使用该恶意软件的攻击组织主要活动在亚太地区,以间谍活动或经济利益为目的开展入侵活动。
根据已有 LNMP 投毒案例和 OneInStack 投毒案例,结合服务器上的样本。这次的入侵攻击者使用与 LNMP 中 nginx 恶意代码一致。由于缺少服务器下载 nginx 安装包的网络日志。没有直接证据表明 nginx 来自恶意的 OneInStack 镜像节点。但从感染方式来说与此前的 OneInStack 投毒案例高度一致。因此我们评估这次攻击者依然使用 OneInStack 投毒的手法,对所有国内的 OneInStack 用户进行攻击。由于我们掌握的 IoC 缺少其他关联线索,暂时无法确定相关的攻击组织。
—— Desync InfoSec
编注:去年继 LNMP[.]org 后 oneinstack 也被金华市矜贵网络科技有限公司收购,10月 V2EX 网友发现 Oneinstack 国内下载源被挂马。
