上个月安全公司 QuoIntelligence 报告，中国黑客组织 Winnti (aka APT41、BARIUM、Blackfly)尝试入侵《仙境传说》开发商韩国重力社的内部网络。Winnti 被认为是恶意版 CCleaner 的幕后攻击者。安全公司 ESET 本周四披露了 Winnti 对网游公司发动攻击的更多细节。安全研究人员称，Winnti 攻击了韩国和台湾的多个热门网游开发商，在其中一个案例中，攻击者入侵了受害者的构建系统，发动了供应链攻击，将游戏可执行文件变成了木马。在另一个案例中，攻击者入侵了游戏服务器，操纵游戏内虚拟货币以获得经济利益。在 2018 年的一次攻击中， Winnti 窃取了 Nfinity Games 的软件证书，该证书直到 ESET 警告其滥用之后才被撤销。

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击，攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制，它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询，因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址，之后才能继续查询域名。NXNSAttack 就是基于这一原理，攻击者发送的委托包含了假的权威服务器名字，指向受害者的 DNS 服务器，迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次，对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。