新沙虫病毒3.0变种引发供应链安全新担忧

新发现的沙虫恶意软件的第三个变种，引发了人们对开源软件供应链安全的新担忧。研究人员警告称，与早期的攻击活动相比，最新版本显示出更高的复杂性和更强的隐蔽性。

沙虫是一种首次于9月被观测到的恶意软件活动，主要针对JavaScript生态系统。其重点在于供应链攻击，而非传统的终端感染。它通过木马化的Node包管理器（npm）软件包来窃取凭据并自我传播。

沙虫3.0是这种自我传播蠕虫的最新进化版本，通过恶意的npm包攻击JavaScript开发者。根据首次检测到该新变种的安全公司Aikido Security NV的研究人员称，此变种完善了先前攻击中使用的技术，同时保持了其核心能力——在开发者环境和持续集成管道中横向传播。

该新变种包含了一系列旨在提高韧性和规避能力的技术改进，包括：更好的错误处理、更模块化的代码、增强的混淆技术，以及对包括Windows环境在内的更广泛的JavaScript运行时的兼容性。

截至目前，与早期版本相比，沙虫3.0仅通过数量较少的软件包进行分发。新变种传播范围有限可能是攻击者有意的，因为威胁行为者通常在发起更广泛的攻击活动前，会在受控部署中测试更新的恶意软件。

沙虫的持续演变也突显出，开发者环境作为攻击面正变得越来越有吸引力。

其核心理念相当简单：将恶意代码嵌入开源依赖项中，使攻击者能够绕过外围防御，并访问那些持有用于云基础设施、源代码仓库和部署管道的高价值密钥的系统。

沙虫新3.0变种的出现，是在托管检测与响应公司Expel Inc.于圣诞节前刚刚检测到该恶意软件的第二个变种之后。

针对此最新变种，自动化漏洞管理公司Mondoo Inc.的首席安全官Patrick Munch通过电子邮件告诉SiliconANGLE：“沙虫3.0是一种无差别的’发射后不管’武器，无法取消攻击”，并且"它的快速演变清楚地提醒我们，软件供应链仍然是威胁行为者的主要目标。"

Munch解释说：“攻击软件供应链的核心，使攻击者拥有广泛的途径来收集凭证并制造混乱。我们预计将看到类似的高影响力攻击在多个软件开发生态系统中有所增加。”

Munch还认为，不仅这个特定的载荷可能极具破坏性，它也预示着未来会出现类似的攻击。