VMConnect 供应链攻击一直保持活跃

在八月的最初的几周内，ReversingLabs 研究团队发现了一个代号为 "VMConnect "的恶意供应链行动。这一恶意的攻击活动涉及到通过 Python 软件包索引（PyPI）分发的约 24 个恶意 Python 软件包，PyPI 是一个广泛使用的 Python 软件开源库。

这些欺骗性的软件包被巧妙地伪装成著名的开源 Python 实用程序，其中包括 vConnector（pyVmomi VMware vSphere 绑定的封装模块）、eth-tester（用于测试基于以太坊的应用程序的工具包）和数据库（为各种数据库系统提供异步支持的工具）。在调查中，研究人员已经注意到，这一攻击活动的实施者正在不遗余力地将自己的攻击工具伪装的更加的合法。

他们花时间建立了 GitHub 存储库，并使用了看起来完全合法的项目描述，其中甚至还加入了真实的源代码。在最新的发现中，该安全团队还发现了几个新的软件包，每个软件包都还有自己的下载统计数据。其中，"tablediter "已获得了 736 次下载，"request-plus "有 43 次下载，而 "requestspro "则有 341 次下载。

在最近发现的这些软件包中，第一个似乎伪装成了表格编辑工具。与此同时，另外的两个软件包则伪装成了目前正在广泛使用的 "requests "Python 库的合法版本，该库通常用于发出 HTTP 请求。ReversingLabs 无法确定该攻击活动的来源，但一些分析师则更有信心，他们认为该恶意软件是 Labyrinth Chollima 所为，而 Labyrinth Chollima 则是臭名昭著的拉扎罗斯集团（Lazarus Group）的一个子集团，该集团则是目前朝鲜国家支持的威胁实体。

此外，JPCERT/CC（一个受人尊敬的网络安全组织）将这次攻击与拉扎罗斯集团的另一个子公司 DangerousPassword 联系了起来。考虑到这些原因以及在 VMConnect 活动中发现的软件包与 JPCERT/CC 研究中描述的软件包之间惊人的代码相似性，这也强烈的暗示这两次的攻击是由同一个威胁行为体所为。

什么是供应链攻击？

供应链攻击是一种常用的网络攻击策略，主要是由于在软件的供应链中存在了漏洞。供应链是由参与产品生产和销售的个人、公司、资源、流程和技术组成的错综复杂的网络。这一链条涵盖了从供应商向制造商运送原材料，直至将产品交付给最终用户的所有环节。

网络攻击者利用企业通常对第三方供应商的信任，瞄准供应链中的薄弱环节，大大增加了成功的机会。这些攻击是间接攻击类型的一个子集，在这种攻击中，威胁攻击者会利用受信任的实体来渗透其主要目标。