针对 NoxPlayer 用户的供应链攻击

研究人员发现了一种软件供应链攻击，它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NoxPlayer的特定用户，NoxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NoxPlayer制造商BigNox表示，该软件在150个国家拥有1.5亿用户。

安全公司Eset周一表示，BigNox软件分发系统遭到黑客攻击，并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的：主BigNox二进制文件Nox.exe和下载更新本身的NoxPack.exe。

Eset恶意软件研究员Ignacio Sanmillan表示：”我们有足够的证据说明BigNox基础设施(res06.bignox.com)被入侵以托管恶意软件，同时也表明他们的HTTP API基础设施(api.bignox.com)可能已经被入侵，在某些情况下，BigNox更新器从攻击者控制的服务器下载了额外的有效载荷。这表明，BigNox API回复中提供的URL字段被攻击者篡改了。”

简而言之，攻击是这样的：在启动时，Nox.exe会向一个编程接口发送请求，查询更新信息。BigNox API服务器会响应更新信息，其中包括合法更新的URL。Eset推测，合法的更新可能已经被恶意软件取代，或者，引入了新的文件名或URL。

http://hackernews.cc/wp-content/uploads/2021/02/ad2c53427809f23.jpg

然后，恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明BigNox软件构建系统并没有被入侵，只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。

BigNox API服务器向特定目标响应更新信息，这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的BigNox基础设施正在为特定的更新提供恶意软件。我们观察到，这些恶意更新只在2020年9月进行。Sanmillan表示，在安装了NoxPlayer的10万多名Eset用户中，只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。

（消息及封面来源：cnBeta）