研究人员发现针对云CI管道的生锈供应链攻击

在Rust编程语言的板条箱注册表中观察到一个软件供应链攻击案例，该注册表利用排印错误技术发布包含恶意软件的恶意库。

网络安全公司SentinelOne将此次攻击称为“板条箱抑郁症”

当对手模仿公共注册中心上流行包的名称，希望开发人员意外下载恶意包而不是合法库时，就会发生错误抢注攻击。

在这种情况下，所讨论的板条箱是“rustdecimal”，这是一个真正的“rust\u decimal”软件包的错别字，到目前为止已下载了350多万次。本月早些时候，莫斯科开发商阿斯卡尔·萨芬（AskarSafin）在5月3日对该软件包进行了标记。

据铁锈维护者发布的一份公告称，据说该板条箱于2022年3月25日首次推出，在从存储库中永久删除之前，只吸引了不到500次下载。

与之前的这种类型的误注攻击一样，拼写错误的库复制了原始库的全部功能，同时引入了一个恶意函数，该函数旨在检索托管在远程URL上的Golang二进制文件。

SentinelOne指出，具体而言，新函数检查是否设置了“GITLAB\u CI”环境变量，这表明“人们对GITLAB连续集成（CI）管道非常感兴趣”。

该负载可以捕获屏幕截图、记录击键和下载任意文件，能够在Linux和macOS上运行，但不能在Windows系统上运行。这场运动的最终目标尚不清楚。

虽然之前已经记录了针对NPM（JavaScript）、PyPi（Python）和RubyGems（Ruby）的错误抢注攻击，但该开发标志着在Rust生态系统中发现此类事件的罕见实例。

SentinelOne的研究人员说：“软件供应链攻击已经从罕见的事件变成了一种非常可取的方法，让攻击者“用炸药捕鱼”，试图立即感染整个用户群体”。

“在CrateDepression的案例中，针对云软件构建环境的目标兴趣表明，攻击者可能试图利用这些感染进行更大规模的供应链攻击”。