网络安全公司ESET近日披露了一种新的供应链攻击—“Operation NightScout”，入侵了NoxPlayer的更新机制，后者是一种面向PC和Mac平台的免费Android模拟器。

Operation NightScout是一个针对性极强、订制化的监控恶意软件，主要影响中国台湾、中国香港和斯里兰卡的特定受害者。通过NoxPlayer的木马化版本更新，攻击者分发了三个不同的恶意软件。

由中国香港公司BigNox开发的NoxPlayer是一款Android模拟器，允许用户在PC上玩手机游戏，并支持键盘、游戏手柄、脚本录制和多个实例。据估计在150个国家拥有超过150万用户。

据称，持续攻击的最初迹象始于2020年9月，从入侵持续到本周发现“明显恶意活动”，促使ESET向BigNox报告此事件。

ESET研究人员Ignacio Sanmillan表示：“通过分析有问题的受感染软件和已分发的具有监视功能的恶意软件，我们认为这可能表明攻击者有意对游戏社区中的目标进行情报收集。”

NoxPlayer更新机制被攻击者用来向用户分发NoxPlayer的木马化版本，用户安装后会释放三种不同的恶意有效负载(例如Gh0st RAT)来监控受害者，捕获键盘记录并收集敏感信息。

研究人员分别发现，BigNox的更新程序还从攻击者控制的远程服务器上下载了其他恶意软件(例如PoisonIvy RAT)。

PoisonIvy RAT首次发现于2005年，已被用于多个知名恶意软件活动中，尤其是在2011年对RSA SecurID数据的入侵中。

ESET指出，这次攻击中使用的恶意软件加载程序与2018年缅甸总统府网站的泄密，以及去年香港大学遭受的攻击情况相似。攻击者入侵了BigNox的基础架构以托管恶意软件，有证据表明其API基础结构可能已经遭到破坏。

Sanmillan建议说：“为了安全起见，建议用户从干净的介质中进行标准重新安装。对于未被感染的NoxPlayer用户，在BigNox发送威胁缓解的通知之前，请不要下载任何更新。此外，目前最佳的保护措施是暂时卸载该软件。”

参考资料：

https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文