【安全资讯】IPany VPN遭供应链攻击，定制恶意软件被植入

概要：

近期，韩国VPN提供商IPany遭到名为“PlushDaemon”的黑客组织的供应链攻击，攻击者在其VPN安装程序中植入了定制的恶意软件‘SlowStepper’。这一事件不仅影响了IPany的用户，还波及到多家企业，凸显了供应链安全的重要性。

主要内容：

根据ESET的研究，攻击者通过侵入IPany的开发平台，在其安装程序中插入了‘SlowStepper’后门。当用户从IPany官网下载并执行安装程序时，恶意软件便会随之被安装。受影响的企业包括一家韩国半导体公司和一家软件开发公司，最早的感染迹象可以追溯到2023年11月。

‘SlowStepper’恶意软件通过一个名为‘winlogin.gif’的图像文件加载，并通过恶意DLL文件‘lregdll.dll’被注入到‘PerfWatson.exe’进程中。该恶意软件具备多种功能，包括数据收集、音视频监控等，能够窃取系统信息和用户数据。其命令功能强大，能够执行系统命令、删除文件、以及从C&C服务器下载额外的恶意负载。

ESET指出，虽然‘SlowStepper’的轻量版功能不如标准版全面，但由于其较小的占用空间，使其在隐蔽性上更具优势。攻击者利用Python和Go编写的工具，进行广泛的数据收集和间谍活动。尽管恶意安装程序已被移除，但所有在2023年11月至2024年5月间下载IPany VPN的用户都可能受到感染，需采取措施清理系统。