研究人員發(fā)現(xiàn)了一種軟件供應(yīng)鏈攻擊，它被用來(lái)在在線游戲玩家的電腦上安裝監(jiān)控惡意軟件。不明身份的攻擊者針對(duì)的是NoxPlayer的特定用戶(hù)，NoxPlayer是一個(gè)在PC和Mac上模擬Android操作系統(tǒng)的軟件包。人們主要用它來(lái)玩這些平臺(tái)上的移動(dòng)Android游戲。NoxPlayer制造商BigNox表示，該軟件在150個(gè)國(guó)家擁有1.5億用戶(hù)。

安全公司Eset周一表示，BigNox軟件分發(fā)系統(tǒng)遭到黑客攻擊，并被用來(lái)向部分用戶(hù)提供惡意更新。最初的更新是在去年9月通過(guò)操縱兩個(gè)文件交付的：主BigNox二進(jìn)制文件Nox.exe和下載更新本身的NoxPack.exe。

Eset惡意軟件研究員Ignacio Sanmillan表示："我們有足夠的證據(jù)說(shuō)明BigNox基礎(chǔ)設(shè)施(res06.bignox.com)被入侵以托管惡意軟件，同時(shí)也表明他們的HTTP API基礎(chǔ)設(shè)施(api.bignox.com)可能已經(jīng)被入侵，在某些情況下，BigNox更新器從攻擊者控制的服務(wù)器下載了額外的有效載荷。這表明，BigNox API回復(fù)中提供的URL字段被攻擊者篡改了。"

簡(jiǎn)而言之，攻擊是這樣的：在啟動(dòng)時(shí)，Nox.exe會(huì)向一個(gè)編程接口發(fā)送請(qǐng)求，查詢(xún)更新信息。BigNox API服務(wù)器會(huì)響應(yīng)更新信息，其中包括合法更新的URL。Eset推測(cè)，合法的更新可能已經(jīng)被惡意軟件取代，或者，引入了新的文件名或URL。

然后，惡意軟件被安裝在目標(biāo)機(jī)器上。惡意文件沒(méi)有像合法更新那樣進(jìn)行數(shù)字簽名。這說(shuō)明BigNox軟件構(gòu)建系統(tǒng)并沒(méi)有被入侵，只有提供更新的系統(tǒng)被入侵。惡意軟件會(huì)對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行有限的偵察。攻擊者會(huì)進(jìn)一步將惡意更新定制到特定的感興趣的目標(biāo)上。

BigNox API服務(wù)器向特定目標(biāo)響應(yīng)更新信息，這些信息指向攻擊者控制的服務(wù)器上的惡意更新位置。觀察到的入侵流程如下圖所示。合法的BigNox基礎(chǔ)設(shè)施正在為特定的更新提供惡意軟件。我們觀察到，這些惡意更新只在2020年9月進(jìn)行。Sanmillan表示，在安裝了NoxPlayer的10萬(wàn)多名Eset用戶(hù)中，只有5人收到了惡意更新。這些數(shù)字凸顯了攻擊的針對(duì)性。