2019年3月25日,安全厂商卡巴斯基公开披露了针对华硕(ASUS)升级服务的供应链攻击活动。该攻击活动主要活跃时间为2018年6月至11月之间,受影响的是华硕更新程序Live Update,该程序预装在大多数华硕品牌计算机上 。攻击者通过华硕的升级服务器下发被污染的Live Update升级程序,受污染的升级程序带有正常的华硕签名。已知安装了该恶意更新程序的用户超过百万,虽然该攻击活动只针对特定MAC地址的用户,但攻击者通过更新升级程序可以攻击所有受影响用户,导致用户计算机被攻击者完全控制。这类来源于供应链并最终造成巨大危害的安全事件其实并不少见,在本报告中,360威胁情报中心对软件供应链的概念进行了梳理,分析了各环节中已有的事件实例,最后提供一些从供应链安全角度对威胁进行防护的对策和建议。
