并购中的安全隐患

两名网络安全研究员 Lupin（Roni Carta）和 Snorlhax 发现了一家新近收购企业的软件供应链漏洞，获得了 $50,500 的漏洞赏金。这一发现再次暴露了企业并购过程中，由于安全标准不一致而导致的潜在风险。

在研究过程中，他们意识到许多被收购企业的 安全标准往往低于母公司，从而可能带来重大隐患。因此，他们决定深入调查 供应链安全漏洞，并最终挖掘出一个极具影响力的安全缺陷。

漏洞是如何被发现的？

两位研究员首先对被收购企业的数字资产进行了深度分析，包括：
🔍 代码存储库（Repositories）
🔍 软件包注册中心（Package Registries）
🔍 关联的 DockerHub 组织

他们采用了一些先进的安全分析技术，例如将 JavaScript 文件转换为抽象语法树（ASTs）以及深入解析 Docker 镜像，最终发现了严重的安全漏洞。

📌 关键突破点：
在下载并分析了一份 Docker 镜像 之后，他们意外地发现了企业 完整的后端源代码，这一发现令人震惊！

供应链漏洞的具体细节

在进一步调查过程中，他们发现 Docker 镜像中包含了一个 “.git” 文件夹，其中存储了一个GitHub Actions（GHS）授权令牌。如果这个令牌被攻击者利用，可能会导致以下严重后果：

🚨 攻击者可操控公司的软件构建流水线（CI/CD）
🚨 可插入恶意代码，篡改软件版本
🚨 可能访问其他 GitHub 代码存储库

随后，他们发现虽然 Docker 镜像已删除了 “.npmrc” 配置文件，但早期的镜像层仍然存有其残留信息。利用 Dive 和 Dlayer 工具，他们成功找到了 私有 npm 令牌，这一令牌允许读取和写入公司私有软件包。

这意味着攻击者可以将恶意代码注入这些私有软件包，导致：
💥 开发人员、CI/CD 流水线和生产环境自动拉取受感染代码
💥 规避安全扫描，造成大规模供应链攻击

软件供应链漏洞的严峻现实

近年来，供应链攻击已影响了全球数千家企业，包括 Snowflake Inc.、Blue Yonder 和 MOVEit Transfer 等公司，造成严重的数据泄露和业务损失。

值得庆幸的是，这两位研究员负责任地向受影响企业报告了漏洞，并详细说明了攻击者可能如何利用这一安全缺陷进行入侵。最终，该企业决定授予他们 $50,500 作为漏洞赏金，以感谢他们的贡献。

🔗 详细技术分析请查看 Lupin 的博文：《破解供应链漏洞，赢得 $50K 赏金》

案例启示：企业如何加强供应链安全？

这一事件再次证明，供应链安全漏洞往往是多种小漏洞叠加的结果，其中任何一个环节的疏忽都可能导致灾难性后果。因此，企业在并购整合过程中，必须注意以下几点：

✅ 确保所有软件组件的安全标准一致
✅ 深入审计新收购企业的代码仓库和自动化构建流程
✅ 定期扫描 Docker 镜像，清理敏感文件和令牌
✅ 加强 CI/CD 安全防护，避免未经授权的代码被部署到生产环境

企业的安全防御不仅要覆盖自身，还要确保其所有供应链环节的安全。唯有如此，才能真正防范供应链攻击，保护企业数据安全！