新的软件供应；连环攻击以数百万间谍软件为目标

网络安全研究人员今天披露了一个新的供应链攻击，该攻击通过破坏NoxPlayer的更新机制，以在线游戏玩家为目标。NoxPlayer是一款用于PC和Mac电脑的免费Android仿真器。

被斯洛伐克网络安全公司ESET命名为“操作夜侦探”，高度针对性的监视活动涉及通过对台湾、香港和斯里兰卡的受害者进行定制的恶意更新来分发三个不同的恶意软件家族。

NoxPlayer由香港BigNox开发，是一款Android模拟器，允许用户在PC上玩手机游戏，支持键盘、游戏板、脚本录制和多个实例。据估计，它在150多个国家拥有超过1.5亿用户。

据称，正在进行的攻击的最初迹象起源于2020年9月左右，从妥协持续到1月25日“明显的恶意活动”被发现，促使ESET向BigNox报告该事件。

ESET研究人员伊格纳西奥·桑米伦（Ignacio Sanmillan）说：“基于问题中的受损软件和交付的具有监视能力的恶意软件，我们认为这可能表明对游戏社区中涉及的目标进行情报收集的意图。”。

为了实施攻击，NoxPlayer更新机制充当载体，向用户提供该软件的特洛伊木马版本，这些用户在安装后提供了三种不同的恶意有效载荷，如Gh0st RAT，以监视其受害者、捕获击键和收集敏感信息。

此外，研究人员还发现了BigNox更新程序从威胁参与者控制的远程服务器下载其他恶意软件二进制文件（如Toxinovy RAT）的情况。

桑米伦说：“毒鼠只在最初的恶意更新之后的活动中被发现，并从攻击者控制的基础设施下载。”。

Toxinoivy RAT于2005年首次发布，已被用于多个备受关注的恶意软件活动，尤其是在2011年RSA SecurID数据泄露事件中。

注意到在攻击中使用的恶意软件加载器与缅甸总统办公室网站2018妥协的一个相似之处和去年香港大学的违反，ESET称攻击背后的运营商违反了BigNox的基础设施来托管恶意软件。有证据暗示其API基础设施可能遭到破坏。

桑米伦说：“为了安全起见，万一发生入侵，请从干净的介质中进行标准的重新安装。”。“对于未受感染的NoxPlayer用户，在BigNox发送他们已减轻威胁的通知之前，不要下载任何更新。此外，[最佳]做法是卸载软件。”