1、软软硬硬件件产品产品供应链攻击供应链攻击分析报告分析报告 目录目录 软硬件产品供应链攻击分析报告.1 摘要.2 概述.2 软硬件供应链相关概念.3 概念和环节划分.3 灰色软件供应链.4 攻击场景与案例分析.4 开发环节.4 开发工具污染.5 源代码污染.22 厂商后门或漏洞.35 交付环节.42 捆绑下载.42 下载劫持.48 物流链劫持.51 使用环节.53 升级劫持.53 访问凭证窃取.64 服务污染.65 综合分析.67 事件信息展示图.67 主要发现与结论.69 对策建议.69 最终用户.70 软硬件厂商.71 安全厂商.71 参考链接.72 摘要摘要 2025 年 8 月，与勒索组

2、织 ShinyHunters 有关联的攻击团伙 GRUB1（又称 UNC6395）通过入侵Salesloft的Drift应用程序，窃取OAuth令牌，然后成功获取到与Drift连接的Salesforce实例的访问权限。攻击者声称从 760 家公司窃取了超过 1.5 亿 Salesforce 记录，此次攻击的受害者还包括 Palo Alto Networks、Zscaler 和 Cloudflare 等网络安全行业的领军企业。2025 年 2 月 21 日，大型加密货币交易所 Bybit 被发现遭窃取价值近 15 亿美元的加密货币，事后调查发现该攻击由 Lazarus 所为。此次窃案源自供应链攻

3、击，Bybit 交易使用SafeWallet团队提供的签名机制，而 SafeWallet开发人员机器被 Lazarus 入侵，攻击者通过篡改 SafeWallet的前端 JavaScript 文件，注入恶意代码，修改 Bybit 的 multisig 交易，将资金重定向到攻击者地址。2024 年 9 月，黎巴嫩地区大量寻呼机被同时引爆，次日再次发生对讲机等通讯设备批量爆炸事件，两轮爆炸共计造成数千人受伤，多人死亡。后续调查表明这些由黎巴嫩真主党采购的通讯设备在交付前已被篡改，修改后的通讯设备可以接受特定的远程指令，然后触发内部植入的爆炸装置。2024 年年 9 月月 17 日黎巴嫩地区日黎巴嫩

4、地区被炸毁的寻呼机被炸毁的寻呼机 这类来源于供应链并最终造成巨大危害的安全事件其实并不少见，在本报告中，奇安信威胁情报中心对涉及信息技术领域软硬件产品的供应链概念进行了梳理，分析了各环节中已有的事件实例，最后提供一些从供应链安全角度对威胁进行防护的对策和建议。概述概述 2025 年 8 月，勒索组织通过入侵 Drift 应用，获取到认证令牌，进而访问到与之关联的Salesforce 数据系统，导致多家企业数据被泄露。2025 年 2 月的 Bybit 加密货币交易所大劫案与其使用的签名服务代码被攻击者植入恶意功能有关。2024 年 9 月黎巴嫩寻呼机等通讯设备爆炸事件背后是攻击者对真主党设备供

5、应链的劫持和渗透，将原本普通的电子设备转变成可远程操控的杀伤武器。2024 年 3 月曝光的 XZ Utils后门事件揭示了开源代码面临的风险，攻击者潜伏在 XZ Utils 项目中两年，伪装为活跃的代码贡献者，并通过社交工程学手段获得 XZ Utils 代码仓库的直接维护权限，为最后植入后门铺平道路。XZ Utils 事件不是开源代码供应链攻击的唯一例子，一些攻击团伙还将包含恶意代码的 Python 模块或 Npm 库上传到第三方库管理平台，对下载并使用这些恶意第三方库的代码开发人员发动攻击。2023 年 3 月，音视频会议软件 3CX 官方发布的 Windows 和 macOS 新版本客户

6、端被发现植入木马，影响全球多家企业。后续调查显示，攻击者是通过另一起供应链攻击进入 3CX的软件构建环境，多家安全厂商认为 3CX 攻击事件与 APT 组织 Lazarus 有关。2020 年 12 月，多家欧美媒体报道美国多个重要政企机构遭受了国家级 APT 组织的入侵，攻击疑似由于网络安全管理软件供应商 SolarWinds 遭遇国家级 APT 团伙高度复杂的供应链攻击并植入木马后门导致。奇安信威胁情报中心第一时间通过解码部分 DGA 域名，推导出部分受害者计算机域，从而发现大量中招的知名企业和机构，其中不乏 Intel、Cisco 等在美高科技企业以及各类高校和政企单位。针对信息技术企业