旧剧本,新规模:当防御者追逐潮流时,攻击者正在优化基本功

安全行业热衷于讨论“新”威胁。AI驱动的攻击、抗量子加密、零信任架构。但环顾四周,似乎2025年最有效的攻击方式与2015年几乎如出一辙。攻击者仍在利用那些曾经奏效的入口点——只是做得更好了。

供应链:仍在向下游蔓延

正如Shai Hulud NPM活动所揭示的,供应链仍然是一个主要问题。一个被破坏的软件包可以波及整个依赖树,影响数千个下游项目。攻击向量并未改变,改变的是攻击者识别和利用机会的效率。

AI已经降低了攻击门槛。正如AI使单人软件项目能够构建复杂应用一样,网络犯罪领域也是如此。过去需要大型有组织行动才能完成的事情,现在只需精干的团队甚至个人就能执行。我们怀疑其中一些NPM软件包攻击(包括Shai-Hulud)实际上可能是单人操作。

随着软件开发变得越来越简单,威胁行为体又展现出打持久战的能力(如XZ Utils攻击)——我们很可能会看到更多案例:攻击者发布合法的软件包以长期建立信任,然后在某一天,只需点击一个按钮,就能向所有下游用户注入恶意功能。

钓鱼攻击:仍仅需一次点击

官方商店:仍不安全

或许最令人沮丧的是:恶意软件仍在绕过官方审查。我们对窃取ChatGPT和DeepSeek对话的恶意Chrome扩展的研究揭示了一个我们从移动应用商店早已了解的事实——自动化审核和人工审核员跟不上攻击者的复杂程度。

权限问题听起来应该很熟悉,因为它本已得到解决。Android和iOS为用户提供了精细控制:你可以允许位置访问但屏蔽麦克风,仅允许应用在前台时使用摄像头而非后台。Chrome本可为扩展程序实施相同的模型——技术是现成的。这只是一个优先级和实施的问题。

然而,用户面对扩展程序请求“读取所有网站信息”的权限时,只能做出二元选择。如果一个扩展程序要求这种级别的访问权限,在大多数情况下,它将被用于恶意目的,或者会在后续更新中这样做。

攻击者没有“炫酷工具综合征”

攻击者并未在AI到来时抛弃他们的剧本——而是将其自动化。他们仍在利用供应链、钓鱼开发者、并让恶意软件绕过审查。他们只是用十分之一的资源就做到了。

我们不应在基础防护仍未奏效时追逐花哨的新防御策略。修复权限模型、强化供应链验证、使防钓鱼认证成为默认设置。基础工作现在比以往更重要,而非更不重要。

攻击者优化了基本功。防御者应优先关注什么?
加入OX参与我们即将举行的网络研讨会

威胁情报更新:黑客的有效手段与防御方的应对措施

我们将探讨正在流行的攻击技术、实际有效的防御手段,以及在资源有限时应优先处理的事项。在此注册

在此注册

注:本文由OX安全研究团队负责人Moshe Siman Tov Bustan独家撰写并供稿。

觉得这篇文章有趣?
本文来自我们一位重要合作伙伴的供稿。
关注我们的Google NewsTwitterLinkedIn阅读更多独家内容。

标签: 恶意软件, 网络钓鱼, 供应链攻击, AI安全, 权限模型

添加新评论