#main-nav-header { display:none; }

恶意软件伪装为开发工具

现代网络攻击比以往任何时候都更加复杂，这已成为人们耳熟能详的一种论调。但很少有攻击能像“BlazeStealer”这样符合标准，BlazeStealer 是伪装成良性代码混淆工具的一系列恶意 Python 软件包。对于那些负责保护开发人员处理数据隐私的企业来说，代码混淆是一项标准的最佳实践。

虽然使用数据保护工具应该能让攻击者望而却步，但有时却适得其反。由于受代码混淆工具保护的数据往往极具价值，因此，攻击者更有动力寻找渗透这些工具的方法，甚至创建恶意版本并将向毫无戒心的用户推销。

在最近的一个案例中，下载这些看似无害的代码混淆程序包会自动触发恶意软件，使攻击者能够完全控制目标设备、窃取密码，以及加密和下载敏感数据。等到人们检测并删除 BlazeStealer 时，它在北美、亚洲和欧洲的下载量已达到近 2,500 次，在此过程中泄露了数千家企业的受保护信息。

虽然 BlazeStealer 恶意软件不再构成威胁，但数千种其他开发工具遭受了类似攻击，因为攻击者利用开源存储库、骗取开发人员的信任，以及渗透到毫无戒心的目标企业。请继续阅读，了解攻击者为何将应用开发作为入口点，以及如何识别工程师所用工具中的恶意活动。

开发人员在企业中处于独特的地位。他们可以访问开发基础设施和内部系统，这使其成为攻击者的高价值目标，攻击者可能会使用恶意软件以及其他复杂方案，破坏这种访问权限，从而使企业的数据、运营和收入面临风险。回想一下近期的这些攻击：

通常难以大规模识别并缓解恶意软件，因为攻击者复制和上传恶意程序包的速度比开发人员平台和软件供应链提供商删除这些恶意程序包的速度更快。一些开发人员可能根本没有对第三方软件进行适当的审核；一项研究表明，用户每周下载的已弃用 JavaScript 软件包（即：存在已知漏洞的软件包）高达 21 亿次。

无论是隐藏在开源存储库中的恶意软件、骗局，还是单纯疏忽大意，这些攻击产生的连锁反应可能远远超出其最初对应用和 Web 开发的影响。成功植入后，恶意软件可能在企业的基础设施和系统中迅速传播，窃取内部数据、泄露受保护的客户信息、扰乱业务运营（甚至是运送的产品），以及导致收入和品牌声誉受损。

抵御这些威胁需要采用主动的安全方法，包括定期运行安全扫描，制定严格的第三方代码库和开发工具使用策略，以及培训开发人员了解不断演变的攻击方法。

以下是常见骗局的三个明显迹象和企业可以实施的最佳实践，以帮助降低攻击风险：

1. 受恶意软件感染的程序包可能会伪装成拼写错误。

这种技术称为“误植域名”，会诱骗用户下载与热门软件包名称相似的恶意软件程序包。用户安装了受感染的程序包之后，简单的、未检测到的拼写错误可能会引发恶意软件部署，使攻击者能够采取进一步行动。

为了防范此类攻击，开发人员必须仔细检查程序包名称，然后继续下载和安装，即使程序包来自受信任的来源也要仔细检查。

2. 受信任的程序包可能会隐藏恶意更新。

即使程序包已经通过了可疑内容和漏洞审核，也可能在未来的更新过程中受到感染，导致在最意想不到的时刻触发攻击。但是，手动检查每个程序包更新可能会减缓必要的安全更新速度，分散对其他开发项目的注意力，而且定期执行更新既昂贵又耗时。

避免此类恶意更新需要综合运用多种技巧，例如优先考虑关键安全更新、使用自动化工具帮助扫描程序包以检测新漏洞。

3. 开发安全工具和实用程序包可能是恶意活动的幌子。

与伪装成 BlazeStealer 恶意软件的代码混淆工具一样，其他开发安全工具和实用程序包（甚至是像电子邮件验证工具这样不起眼的工具）也可能引发各种意想不到的恶意操作。如果攻击得逞，攻击者便可以访问受保护的凭据、数据、开发人员系统和生产基础设施，从而迅速扩大攻击范围。

阻止此类攻击并不像手动检查开源程序包或部署某些自动化服务来主动扫描漏洞那么简单。开发人员可能会成为这些攻击的目标，但企业必须采取安全至上的思维方式：即便是使用可信的存储库和工具，也可能存在风险。

随着开源存储库的激增以及企业对存储库依赖程度的增加，攻击者正在寻找更有效、更复杂的方法来渗透开发人员系统。因此，实施强大的威胁检测和响应策略比以往任何时候都更加重要。

Cloudflare 统一的智能平台，可帮助企业保护基础设施和数据免受新兴威胁的攻击，并实施严格的数据控制。采用 Cloudflare 解决方案，企业能够：

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

深入探讨这个话题

获取《Everywhere Security：保护现代企业免受威胁而不扼杀创新》电子书，了解 Cloudflare 如何帮助企业保护其开发环境免受复杂且不断演变的威胁。

阅读本文后，您将能够了解：