随着软件供应链风险的增加，黑客将 AI 和加密货币作为目标

快速阅读: 《帮助网络安全》消息，报告显示，软件供应链攻击正变得更加复杂，开源和商业软件均面临风险。开源软件中普遍存在漏洞，而商业软件也暴露出密钥暴露和漏洞利用等问题。攻击者 increasingly 针对人工智能和加密货币领域，强调需加强软件供应链安全管理。

根据瑞维斯拉布斯（ReversingLabs）的报告，软件供应链攻击的复杂性正在逐步提升，主要原因在于开源软件和第三方商业软件中普遍存在的漏洞问题，以及针对人工智能和加密货币开发流程的恶意活动。瑞维斯拉布斯数据显示，2024年开源软件依然是供应链风险的关键因素。例如，通过公开可访问的开源包泄露开发秘密的事件相比2023年增长了12%。即使是最广泛使用的开源包中，依然存在关键且可利用的软件漏洞。对三大领先开源包管理器中的30个开源包进行扫描后发现，这些包合计下载次数超过6.5亿次，结果显示每个包平均存在6个严重级漏洞和33个高危级漏洞。

然而，开源软件只是软件供应链风险的一部分。瑞维斯拉布斯扫描了二十多种广泛使用的商业二进制文件，包括商业和开源操作系统、密码管理器、网络浏览器以及虚拟私人网络（VPN）软件，发现了第三方商业二进制文件中存在的软件安全隐患。许多被扫描的包因为暴露的密钥、已被利用的软件漏洞、可能的代码篡改迹象以及防护不足等问题，未能达到安全标准。

“2025年的报告强调了软件供应商及其企业买家所面临的挑战，”瑞维斯拉布斯首席执行官马里奥·沃克桑（Mario Vella）表示，“首先是攻击者的复杂性不断上升，他们愿意花费数年时间策划和实施攻击；其次是超越开源软件，将目标转向商业软件。这进一步凸显了我们需要更好地控制构建和部署的软件。尤其是在软件供应链中人工智能兴起的情况下，这一点尤为重要。”

加特纳公司强调了这一需求，表示“软件供应链的安全性现已成为与软件安全性同等重要的议题”。

受到攻击的第三方商业软件
尽管关于软件供应链安全的大部分讨论集中在开源软件包上，但最大的风险实际上在于闭源的商业软件。为了强调这个问题，瑞维斯拉布斯扫描了六家知名厂商的20个不同版本的VPN客户端，发现了令人担忧的趋势，包括：

– 20个VPN包中有7个包含一个或多个强制补丁和/或已被利用的软件漏洞。
– 20个扫描的VPN包中有4个包含暴露的开发者秘密。
– 尽管主要风险源自第三方商业软件，但开源软件模块和代码存储库在2024年依然占据了大多数供应链风险。

瑞维斯拉布斯识别出广泛使用的开源模块中存在的严重且可利用的软件漏洞、配置错误以及其他问题，这些构成了重大风险。开源风险的其他例子包括：

– **普遍存在的‘代码腐烂’**：对流行的npm、PyPI和RubyGems包的分析表明，许多广泛使用的开源模块包含过时的开源和第三方软件模块。例如，瑞维斯拉布斯对一个每周近3000次下载、拥有16个依赖应用的npm包进行扫描后发现，该包已有超过7年未进行代码更新，其中包含164个不同的代码漏洞，其中43个被评为“严重”级别，81个被评为“高”级别，并且有七个漏洞已被恶意软件积极利用。

加密应用攻击上升警告软件生产商
2024年见证了针对加密货币交易所、钱包及终端用户应用的一系列复杂软件供应链攻击。专注于加密货币的攻击者使用了复杂且高度接触的技术，以获取对敏感加密货币应用和基础设施的访问权限。

报告概述了在已建立的Python包aiocpa中检测到的恶意代码的研究。报告还记录了一系列针对人工智能和大型语言模型机器学习应用开发人员使用的开发基础设施和代码的恶意软件供应链攻击活动。

研究人员在Hugging Face开源平台内置保护措施下发现了一种名为“nullifAI”的恶意技术，其中恶意代码被嵌入到Pickle序列化文件中，从而逃避了该平台的保护措施——这是人工智能和机器学习开发人员的主要资源。

整体而言，软件供应链的安全问题正变得愈发严峻，无论是开源还是闭源领域，都需要采取更严格的管控措施，以应对日益复杂的威胁。

(以上内容均由Ai生成)