2025年供应链攻击与云服务故障大盘点

在2024年的重要事件回顾中，一起供应链攻击差点对数千家（可能是数百万家）组织造成灾难性影响，这些组织包括大量财富500强公司和政府机构。供应链攻击在今年再次成为焦点，似乎无休止的攻击浪潮席卷了大大小小的组织。

对于威胁行为者来说，供应链攻击就像是持续不断的礼物——或者说，是持续不断的黑客攻击。通过攻击单个拥有大量下游用户的目标——比如云服务或广泛使用的开源或专有软件的维护者或开发者——攻击者可以感染目标的数百万下游用户。这正是威胁行为者在2025年所做的事情。

毒化源头

其中一个事件发生在2024年12月，值得在2025年的排名中占有一席之地。这次攻击活动背后的黑客从Solana区块链上数千个智能合约方那里获得了高达15.5万美元的收益。

黑客通过在Solana相关软件开发者使用的代码库中植入后门来获利。安全公司Socket表示，他们怀疑攻击者攻击了Web3.js开源库开发者的账户。然后他们利用这个访问权限在包更新中添加后门。当去中心化Solana应用的开发者安装了恶意更新后，后门进一步传播，让攻击者能够访问连接到智能合约的个人钱包。后门随后可以提取私钥。

今年的供应链攻击太多，无法一一列举。其他一些最值得注意的例子包括：

在Google为Go编程语言开发者运行的镜像代理上植入恶意包。超过8000个其他包依赖于这个被攻击的包。恶意包使用了与合法包相似的名称。这种"打字错误抢注"包会在开发者因为打字错误或疏忽而意外选择它们而不是他们实际想要的包时被安装。

NPM存储库被126个恶意包淹没，下载次数超过86000次。这些包通过名为远程动态依赖的功能自动安装。

超过500家电子商务公司遭到后门攻击，包括一家价值400亿美元的跨国公司。供应链攻击的源头是三个软件开发商——Tigren、Magesolution（MGS）和Meetanshi——的攻击，这些开发商提供基于Magento的软件，Magento是一个被数千家在线商店使用的开源电子商务平台。

数十个开源包遭到攻击，这些包每周总共被下载20亿次。被攻击的包被更新了用于将加密货币支付转移到攻击者控制的钱包的代码。

tj-actions/changed-files组件遭到攻击，该组件是tj-actions的一部分，被超过23000个组织使用。

多个开发者账户通过npm存储库被攻破，随后10个与人才机构Toptal合作的包被植入后门。恶意包被下载了大约5000次。

内存损坏，AI聊天机器人风格

2025年另一类频繁发生的攻击是对AI聊天机器人的黑客攻击。影响最深远的攻击是那些毒化大语言模型长期记忆的攻击。就像供应链攻击允许单次攻击触发连锁后续攻击一样，对长期记忆的攻击可能导致聊天机器人反复执行恶意操作。

其中一次攻击使用了一个简单的用户提示，指示一个专注于加密货币的大语言模型用一个从未实际发生的事件更新其记忆数据库。这个聊天机器人被编程为遵循命令并将用户输入视为事实，无法区分虚构事件和真实事件。

在这个案例中，AI服务是ElizaOS，这是一个新兴的开源框架，用于创建基于一组预定义规则代表用户执行各种基于区块链交易的智能体。学术研究人员能够通过向ElizaOS提供声称某些事件（实际上从未发生过）在过去发生的句子来破坏其记忆。这些虚假事件随后影响智能体的未来行为。

一个攻击提示示例声称设计ElizaOS的开发者希望它将所有未来转账的接收钱包替换为攻击者控制的钱包。即使用户指定了不同的钱包，由提示创建的长期记忆也会导致框架用恶意钱包替换它。这次攻击只是一个概念验证演示，但设计它的学术研究人员表示，已经被授权与智能体进行交易的合约方可以使用相同的技术来欺骗其他方。

独立研究员Johan Rehberger对Google Gemini演示了类似的攻击。他植入的虚假记忆导致聊天机器人降低了通常在处理不可信数据时限制调用Google Workspace和其他敏感工具的防御。虚假记忆永久存在，允许攻击者反复从攻击中获利。Rehberger在2024年也展示了类似的攻击。

第三个引起关注的AI相关概念验证攻击使用提示注入导致GitLab的Duo聊天机器人向原本合法的代码包添加恶意代码行。这种攻击的变体成功窃取了敏感用户数据。

另一个值得注意的攻击针对Gemini CLI编码工具。它允许攻击者在使用AI工具的开发者计算机上执行恶意命令——比如擦除硬盘。

将AI用作诱饵和黑客助手

其他涉及大语言模型的攻击使用聊天机器人使攻击更有效或更隐蔽。本月早些时候，两名男子因涉嫌窃取和擦除敏感政府数据而被起诉。检察官说，其中一名男子试图通过询问AI工具"删除数据库后如何清除SQL服务器的系统日志"来掩盖自己的踪迹。不久之后，他据说又问工具"如何清除Microsoft Windows Server 2012的所有事件和应用程序日志"。调查人员仍然能够追踪被告的行为。

5月，一名男子承认通过诱骗迪士尼公司员工运行广泛使用的开源AI图像生成工具的恶意版本来攻击该员工。

8月，Google研究人员警告Salesloft Drift AI聊天智能体的用户考虑所有连接到该平台的安全令牌都已被攻击，因为发现未知攻击者使用了一些凭据来访问Google Workspace账户的电子邮件。攻击者使用令牌访问个人Salesforce账户，并从那里窃取数据，包括可用于其他攻击的凭据。

还有多个大语言模型漏洞反咬使用它们的人的实例。在一个案例中，CoPilot被发现泄露了来自Google、Intel、华为、PayPal、IBM、腾讯和具有讽刺意味的微软等公司的超过20000个私有GitHub存储库的内容。这些存储库最初也可以通过Bing获得。微软最终从搜索中删除了这些存储库，但CoPilot仍然继续暴露它们。

Meta和Yandex被当场抓获

另一个重要的安全故事将Meta和Yandex都描绘为恶棍。两家公司都被发现利用Android弱点来去匿名化访问者，以便可以追踪他们多年的浏览历史。

隐蔽追踪——在Meta Pixel和Yandex Metrica追踪器中实现——允许Meta和Yandex绕过Android操作系统和运行在其上的浏览器提供的核心安全和隐私保护。例如，Android沙箱隔离进程以防止它们与操作系统和设备上安装的任何其他应用程序交互，切断对敏感数据或特权系统资源的访问。内置在所有主要浏览器中的状态分区和存储分区等防御措施，将站点cookie和与网站关联的其他数据存储在对每个顶级网站域唯一的容器中，以确保它们对其他所有站点都是禁区。

一个巧妙的攻击允许两家公司绕过这些防御。

2025年：云服务故障之年

互联网被设计为提供一个能够承受核战争的去中心化平台。正如在过去12个月中痛苦地变得明显的那样，我们对少数几家公司日益增长的依赖在很大程度上破坏了这个目标。

影响最大的中断发生在10月，亚马逊庞大网络内的单点故障导致全球重要服务中断。它持续了15小时32分钟。

引发连锁事件的根本原因是监控负载平衡器稳定性的软件中的软件错误，其中包括定期为Amazon Web Services网络内的端点创建新的DNS配置。竞争条件——一种使进程依赖于可变且超出开发者控制的事件时序或序列的错误类型——导致网络内的关键组件经历"异常高的延迟，需要在几个DNS端点上重试其更新"，亚马逊在事后分析中说。当组件在追赶时，第二个关键组件——DNS错误的级联——堆积起来。最终，整个网络崩溃了。

AWS不是唯一一个经历互联网瘫痪级中断的云服务。上个月的神秘流量激增使Cloudflare的大部分服务——以及互联网——陷入瘫痪。Cloudflare在本月早些时候经历了第二次重大中断。不甘示弱的是，Azure——以及它的客户——在10月也经历了中断。

值得一提的事件

2025年安全故事的值得一提事件包括：

Deepseek iOS应用中的代码导致苹果设备在未首先加密的情况下将未加密流量发送给字节跳动，这家拥有TikTok的中国公司。缺乏加密使数据对任何能够监控流量的人都是可读的，并为更复杂的攻击者打开了篡改的大门。发现这一故障的研究人员在应用中发现了其他弱点，给人们提供了避开它的另一个理由。

在苹果芯片中发现的错误可能被利用来泄露Gmail、iCloud和其他服务的秘密。最严重的错误是一个名为推测执行的性能增强中的侧信道。利用可能允许攻击者读取原本无法访问的内存内容。对这个侧信道的攻击可以被利用来从Google Maps窃取目标的位置历史，从Proton Mail窃取收件箱内容，以及存储在iCloud日历中的事件。

证明并非所有主要安全故事都涉及坏消息，Signal私人消息应用得到了重大改进，将使其能够承受量子计算机的攻击。正如我所写的，改进像这个应用这样复杂的工具所展现的优雅和熟练简直是一个胜利。如果你计划只点击本文列出的文章中的一篇，这就是那一篇。

Q&A

Q1：什么是供应链攻击？为什么威胁这么大？

A：供应链攻击是通过攻击单个拥有大量下游用户的目标来感染数百万用户的攻击方式。攻击者会攻击云服务或广泛使用的开源软件的开发者，然后通过软件更新传播恶意代码。这种攻击威胁巨大是因为一次攻击就能影响数千甚至数百万的组织和用户。

Q2：AI聊天机器人的长期记忆攻击是如何工作的？

A：攻击者通过向大语言模型提供虚假信息来毒化其长期记忆。比如向ElizaOS输入从未发生的虚假事件，聊天机器人会将这些虚假信息当作真实记忆保存。这些虚假记忆会永久影响AI的未来行为，导致它反复执行恶意操作，比如将用户的转账地址替换为攻击者控制的钱包。

Q3：2025年发生了哪些重大云服务中断事件？

A：最大的中断发生在10月，亚马逊AWS的单点故障导致全球重要服务中断长达15小时32分钟。根本原因是负载平衡器监控软件中的竞争条件错误。此外，Cloudflare也经历了两次重大中断，Azure在10月也发生了服务中断，这些都显示了我们对少数云服务提供商过度依赖的风险。