据国外媒体报道，我们往往接触到的软件安全问题都是关于信任源：不要点击不明来源的网页链接或附件，只能从受信任的来源或受信任的应用商店中安装应用程序。但是，最近黑客开始在软件供应链上诸如攻击，甚至在用户点击安装之前，黑客已经将恶意软件植入到受信供应商的软件之中。

　　周一，思科Talos安全研究部门透露，上月黑客破坏了超流行的免费电脑清理工具CCleaner，将一个后门插入到该工具的应用程序更新中，至少影响了数百万台个人电脑。这种攻击将恶意软件直接植入了CCleaner开发商Avast的软件开发过程，并通过安全公司分发给用户。这种攻击越来越常见。在过去三个月里，黑客三次利用软件供应链中的漏洞在软件公司自己的安装程序或系统更新中植入恶意代码，并通过那些受信渠道传播恶意代码。

　　黑客攻击手段升级：恶意软件植入合法软件之中

　　思科Talos团队负责人克雷格·威廉姆斯（Craig Williams）表示“这些供应链攻击有相关性。 “攻击者意识到，如果他们能找到那些没有采用有效安全防范措施的软件公司，他们就可以劫持起客户群，并将其用作自己恶意软件的安装基础。我们发现的类似情况越多，也就意味着类似的攻击越多。“

　　根据Avast透露，从应用程序第一次被破坏开始，植入恶意软件的CCleaner应用程序的已经安装了287万次。直到上周，一个测试版的思科网络监控工具发现了其中问题。事实上，以色列安全公司Morphisec早在8月中旬就提醒了Avast注意此类问题。而Avast虽然对CCleaner的安装程序和更新进行了加密，以防止攻击者在没有加密密钥的情况下进行欺骗下载。但是黑客们的高明之处在于，其在数字签名生效之前就已经侵入了Avast的软件分发流程，这样一来安全公司本质上是为恶意软件打上了安全的标志，并把它分发给用户。

　　两个月前，也有黑客利用类似的软件供应链漏洞将破坏性软件“NotPetya”分发至数百个乌克兰的目标，同时也传播到了其他欧洲国家和美国。该软件是一种勒索病毒，在乌克兰其通过一款被称为MeDoc的会计软件更新进行传播。?NotPetya使用MeDoc的更新机制作为依托，然后通过企业网络进行传播，造成了包括数千乌克兰银行和发电厂等公司业务瘫痪。线管影响甚至波及到了丹麦航空业巨头马士基以及美国制药巨头默克公司。

　　一个月之后，俄罗斯安全公司卡巴斯基研究人员发现了另一个软件供应链攻击，他们将其称之为“Shadowpad”：黑客将一个后门程序通过企业网络管理工具Netsarang的分发渠道下载到了韩国的数百家银行，能源和药品公司公司。卡巴斯基分析师Igor Soumenkov当时写道：“ShadowPad是一个关于软件供应链攻击的典型例子，也表明这种攻击方式是可多么危险和广泛。”

　　对软件供应链的攻击已经多次出现。但是，安全公司Rendition Infosec的研究员和顾问杰克·威廉姆斯（Jake Williams）表示，这些攻击事件也引起了人们对安全的高度关注。威廉姆斯说：“我们往往依赖于开放源码或分布广泛的软件，恰恰这些软件本身就是易受攻击的。对于黑客来说，这些目标唾手可得”

　　威廉姆斯认为，黑客攻击向供应链的转移部分原因是用户端的安全性不断提高，而公司也通过各种防火墙切断了其他较为容易感染病毒的途径。现在，要发现Microsoft Office或PDF阅读器等应用程序中可能存在的漏洞并不像以前那样容易，而且越来越多的公司都在发布安全补丁。威廉姆斯说：“总体上的网络安全性越来越好。但这些软件供应链攻击打破了以往的所有模式，他们能够通过防病毒和基本的安全检查，有时安全补丁本身就是攻击源。

　　在最近的一些安全事件中，黑客还通过另一种方式对软件供应链进行攻击，其攻击的不仅仅是软件公司，而且还会攻击这些公司程序员使用的开发工具。2015年底，黑客在中国开发人员经常光顾的网站上分发了苹果开发者工具Xcode的假冒版本。这些假冒工具将称为XcodeGhost的恶意代码注入了39个iOS应用程序，其中不少软件还通过了苹果的App Store评测，导致了大规模的iOS恶意软件爆发。就在上周，斯洛伐克政府警告称，Python代码库或PyPI中已经被加载了恶意代码。

　　思科的克雷格威廉姆斯（Craig Williams）说，这些供应链攻击特别阴险，因为它们违反了消费者计算机安全的基本思想，这可能会让那些坚持使用可信软件来源的用户和那些随意安装软件的用户一样脆弱。特别是恶意软件开始攻击Avast这样的安全公司时尤为如此。威廉姆斯说：“人们信任软件公司，当他们这样遭到安全威胁时，真的是打破了这种信任。”

　　威廉姆斯说，这些攻击已经使消费者无法有效保护自己。最好的应对方法是，您可以尽量扼要地了解所使用软件的公司的内部安全实践，或者从应用程序中判读该公司是否具备足够的内部安全性。

　　但对于一般互联网用户而言，此类信息难以了解。最终，保护用户免受类似供应链攻击的责任也必须转向软件供应链，也就是让那些有供应链漏洞的公司为之买单。