本周安全快讯：危险蠕虫正在疯狂侵蚀软件包

一种名为“Shai-Hulud”的新型自复制蠕虫正在感染数百个开源软件包，标志着供应链攻击的危险升级。同时，一项调查揭示了美国科技公司在帮助构建中国大规模监控系统方面所扮演的角色。此外，本周的安全事件还包括：两名“Scattered Spider”黑客组织成员被捕，美国国土安全部因配置失误导致敏感数据泄露，以及一个可能影响所有 Azure 客户的微软系统漏洞。

危险的“沙漠蠕虫”正在吞噬软件供应链

网络安全领域出现了一种令人不安的新型攻击方式：一种能够完全自我复制的供应链攻击蠕虫。这种恶意软件被称为 “Shai-Hulud”，以科幻小说《沙丘》中的巨型沙虫命名。

• 攻击目标： 该蠕虫主要针对 Javascript 开发者使用的代码库 NPM (Node Packet Management)。
• 传播方式： 它首先感染一个使用了受污染软件包的系统，然后在该系统上寻找更多的 NPM 凭证。一旦找到，它就会利用这些凭证去感染和破坏更多的软件包，从而继续传播。
• 感染规模： 据统计，该蠕虫已感染了超过 180 到 700 个不同的软件包，使其成为历史上规模最大的供应链攻击之一。

这种攻击方式的演变令人担忧，因为它不再需要黑客手动寻找下一个目标，而是像生物病毒一样自主传播，极大地增加了防御难度和潜在破坏范围。

美国科技公司如何帮助构建中国的“天网”

长期以来，西方隐私倡导者一直将中国的监控系统视为一种警示。然而，美联社的一项深入调查显示，这些系统在很大程度上是建立在美国技术之上的。

调查发现，从用于网络审查的“金盾工程”到用于追踪和拘留特定人群的工具，其背后都有美国公司的身影。

• 涉及公司： 报告点名了多家知名美国公司，包括 IBM、Dell、思科、英特尔、英伟达、甲骨文、微软、亚马逊云服务 (AWS) 和惠普等。
• 直接证据： 调查人员发现了这些公司用中文制作的营销材料，其中明确向中国警方和国内情报机构推销其监控应用和工具。

“Scattered Spider”黑客组织成员在英国被捕

“Scattered Spider” 是一个主要在西方国家活动的黑客和敲诈勒索团伙，曾对米高梅度假村 (MGM Resorts) 和英国玛莎百货 (Marks & Spencer) 等多个知名目标发动攻击。

现在，该组织的两名嫌疑成员已在英国被捕。

• 被捕成员： 分别是 19 岁的 Thalha Jubair 和 18 岁的 Owen Flowers。
• 主要指控： 他们被控入侵伦敦交通系统，据称造成了超过 5000 万美元的损失。其中，Jubair 一人被指控入侵了 47 个组织。
• 持续威胁： 尽管已有多名成员被捕，但该组织几乎没有中断其攻击活动，显示出其顽固的生命力。

其他值得关注的安全事件

• 美国国土安全部数据泄露： 由于一个平台配置错误，导致包含美国公民监控数据在内的敏感国家安全信息被暴露，数千人可以访问。
• 新型短信诈骗： 被称为“短信轰炸机”的新工具可以每小时发送高达 10 万条垃圾短信。诈骗者通过部署伪基站来绕过电信公司的反垃圾邮件措施。
• 微软 Azure 漏洞： 微软的身份和访问管理系统 Entra ID 中存在两个已修复的漏洞。如果被利用，攻击者可能访问几乎所有的 Azure 客户账户，后果不堪设想。