---

前言：头脑风暴式的两大安全警钟

在信息安全的世界里，危机往往不是“一声惊雷”而是“一滴暗流”。下面用两则鲜活而又惊心的案例，开启本次安全意识的深度思考。

案例一：某跨国金融机构因间接依赖漏洞导致数据泄露

事件概述
2024 年底，某全球性银行的线上支付系统遭遇大规模数据泄露。攻击者并未直接攻击该系统的核心服务，而是锁定了银行内部使用的一个第三方日志收集库 log‑collector‑x。该库本身引用了 utility‑y，而 utility‑y 的旧版本中藏有一个 CVE‑2023‑4587 的远程代码执行（RCE）漏洞。攻击者利用该漏洞在日志收集服务器上植入后门，随后横向渗透至核心数据库，窃取了上千笔客户的信用卡信息。

安全盲点
– 间接依赖被忽视：传统的依赖扫描只检查 直接声明 的库（即银行显式引入的 log‑collector‑x），未能辨识 log‑collector‑x 内部的 utility‑y。
– 缺乏 SBOM 可视化：银行未维护完整的 Software Bill of Materials（SBOM），导致无法快速定位 vulnerable chain。
– 补丁策略滞后：即便 utility‑y 的安全团队在 2023 年已发布补丁，银行的内部部署仍停留在 2 年前的版本。

后果
– 超过 12,000 名客户的个人敏感数据被泄露；
– 监管部门处以 3000 万美元 罚款；
– 该行品牌形象受挫，股价短期下跌 8%。

案例二：AI 生成代码引入的“隐形”开源漏洞

事件概述
2025 年 3 月，一家国内内部管理系统的开发团队尝试使用 ChatGPT‑4.0 辅助编写业务逻辑。通过“一键生成”功能，系统快速得到一段用于数据加密的代码片段。该代码片段内部调用了 crypto‑lite 库的 v1.2.3 版本，而该版本在 2024 年被发现存在 CVE‑2024‑1122（密钥泄露）漏洞。由于生成的代码直接写入了项目的 requirements.txt，并在 CI/CD 流程中未触发额外的安全审计，漏洞随即进入生产环境。

安全盲点
– AI 辅助开发的盲区：开发者对 AI 生成的代码缺乏足够的来源验证，默认信任其“现代化”。
– 依赖树缺乏深度扫描：传统的依赖扫描工具（如 Gemnasium）只能捕获 直接声明 的库，未能递归检查 crypto‑lite 的子依赖 openssl‑shim，后者同样存在高危漏洞。
– 缺少“使用感知”：虽然 crypto‑lite 在项目中被引用，但实际业务代码只调用了非敏感的 API，系统未能区分“真正被使用”与“被动引入”的差异，导致误报与漏报并存。

后果
– 攻击者利用密钥泄露的漏洞，窃取了公司内部 5 万条敏感业务数据；
– 公司被迫在 2 周内完成全系统的代码审计与库升级，造成 约 200 万人民币 的直接成本；
– 此事在行业内引发热议，促使多家企业重新审视 AI 代码生成的安全治理。

---

Ⅰ. 何为“供应链安全”？——从技术概念到组织认知

“千里之堤，溃于蚁穴。”
——《左传·僖公二十三年》

现代企业的数字化转型让 “软件即服务（SaaS）”、“平台即平台（PaaS）”、“容器即容器（CaaS）” 成为常态。与此同时，开源生态 的繁荣让每一个业务功能背后都藏着 上百甚至上千 条“依赖链”。正如 GitLab 19.0 所强调的那样，用 SBOM（Software Bill of Materials） 为基石的相依性扫描，能够让我们：

1. 全景可视化：从根节点到叶子节点，完整呈现每一个第三方组件的来源、版本、许可证信息。
2. 漏洞匹配：将 SBOM 中的每一项与 GitLab Advisory Database、NVD、CVE 等公开漏洞库即时比对。
3. 使用感知：识别代码实际调用的库（code‑level usage），帮助团队优先修补“真”风险。
4. 持续监控：在新漏洞公开后，系统自动对已有 SBOM 进行再扫，确保老组件不因“沉睡”而变成新威胁。

从案例一看，如果该金融机构在项目初期就生成了完整的 SBOM，并在 CI 中嵌入了 GitLab 的 SBOM 相依性扫描器，团队完全可以在漏洞公开的第一时间收到 “utility‑y v1.3.2 已发布安全补丁，请及时升级” 的告警，从而防止后门植入。

从案例二看，AI 生成的代码若在提交前通过 SBOM 解析，便能立刻发现 crypto‑lite v1.2.3 属于 “高危” 级别，并提示开发者改用安全更新的版本或自行实现加密逻辑。

---

Ⅱ. 融合发展的大潮：数字化、机器人化、数据化的安全需求

1. 数字化——业务流转的“血管”

企业的 ERP、CRM、SCM 等系统正快速迁移至云端，业务数据在 API、微服务、事件总线 中流动。每一次接口调用，都可能携带 第三方 SDK 或 云函数。若未对这些组件进行 SBOM 化管理，攻击者只需要在链路的任意节点植入一个“隐蔽的后门”，即可实现 横向渗透。

2. 机器人化——自动化的“双刃剑”

机器人流程自动化（RPA）与工业机器人（IoT）正逐步取代人工执行重复任务。机器人运行的 固件、驱动程序、脚本 同样依赖开源库。一次固件升级若未进行 供应链安全审计，势必将 整个生产线 暴露在潜在漏洞之下。

“机器不懂善恶，只有人能赋予安全。”——《韩非子·说难》

3. 数据化——资产价值的根基

大数据平台、数据湖、实时分析引擎在企业决策中扮演核心角色。数据治理工具往往依赖 Apache Hadoop、Spark、Flink 等生态，这些生态本身是 高度模块化 的，且每个模块都有其独立的发布节奏。缺失 SBOM 管理，就等于在“一张巨大的数据地图”上留下未标记的暗礁。

---

Ⅲ. 我们的使命：全员参与、持续强化的安全文化

1. “安全不是某个人的事，而是全公司的呼吸”

• 管理层：要把 SBOM 当作 合规报告 与 审计基线，并在预算中预留 供应链安全工具 的费用。
• 研发团队：在 代码审查、CI/CD 中嵌入 GitLab SBOM 相依性扫描 或同类工具，做到 “提交即检测、发现即修复”。
• 运维/安全团队：利用 SBOM 仪表盘 统一追踪跨项目、跨环境的漏洞状态，及时发布 “紧急升级通告”。

  

• 业务部门：了解 “依赖风险” 对业务连续性的影响，配合技术团队完成 风险评估 与 业务中断计划（BCP）。

2. 培训的价值：从“知晓”到“内化”

我们即将启动的 信息安全意识培训，将围绕以下三大核心模块展开：

模块	目标	关键内容
供应链安全基础	让每位员工懂得 SBOM 的概念与价值	SBOM 定义、CycloneDX 格式、GitLab Advisory Database
实战演练：从漏洞发现到修复	把理论转化为操作技能	演示如何在 GitLab CI 中集成 SBOM 扫描、如何阅读漏洞报告、如何发起补丁合并请求
AI 与自动化代码的安全治理	防止“AI 代码陷阱”	AI 生成代码审计、依赖树深度扫描、使用感知技术区分“真风险”与“假风险”

每个模块将采用 案例驱动、交互式实验 与 情境模拟 相结合的方式，确保学习过程既 “有料” 又 “有味”。完成培训后，系统将自动为每位学员生成 “安全能力画像”，帮助人力资源搭建精准的 “安全人才梯队”**。

3. 让安全成为组织的“软实力”

“兵者，诡道也。”——《孙子兵法·计篇》
在数字化战争中，情报 与 防御 同等重要。只要我们把安全意识灌输到每一次代码提交、每一次系统运维、每一次业务决策之中，企业的整体韧性便会以指数级增长。

---

Ⅳ. 行动指南：从今天起，迈向安全的第一步

1. 立即生成项目 SBOM
   • 在 GitLab 中新增 .gitlab-ci.yml 步骤：sbom_generator → 输出 CycloneDX 格式文件。
2. 开启 SBOM 相依性扫描
   • 在 Security Configuration Profile 中启用 Dependency Scanning，设置 “仅显示实际引用的漏洞” 过滤器。
3. 报名参与培训
   • 登录公司内部学习平台，搜索关键字 “供应链安全”，完成报名并在 5 月 31 日前完成预学习材料。
4. 提交安全改进建议
   • 通过 GitLab Issue 模板，将调查到的高危依赖、升级计划、验证结果记录下来，形成可追溯的 “安全改进记录”。
5. 定期回顾与复盘
   • 每月一次，由安全团队组织 “SBOM 资产盘点会”，回顾最新漏洞、已修补项与未修补项的进度，确保 “零遗漏、零拖延”。

---

结语：在“看不见的链条”里筑起坚不可摧的防线

从 金融机构的间接依赖泄露，到 AI 代码生成的隐形漏洞，我们已经看到供应链安全失踪的真实代价。面对 数字化、机器人化、数据化 融合的新时代，安全已经不再是“后置检查”，而是 “一体化、前置化、持续化” 的全链路治理。

让我们在即将到来的 信息安全意识培训 中，摒弃“安全是 IT 的事”的陈旧观念，把 SBOM、相依性扫描、使用感知 等核心技术内化为每位员工的日常操作。只要全员行动、共筑防线，企业的业务才能在风起云涌的数字浪潮中稳健前行。

让安全成为企业的硬核竞争力，让每一次代码提交都成为一道“防火墙”。

安全不是终点，而是不断迭代的旅程。
让我们携手同行，打开 SBOM 的新世界！

昆明亭长朗然科技有限公司专注于打造高效透明的信息保密流程。通过我们的服务，您可以轻松识别和管理潜在的数据泄露风险。对此感兴趣的客户请联系我们了解详细方案。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

在信息化的海潮里航行，若没有坚固的舵手与明亮的灯塔，任何一艘看似先进的舰艇都可能在暗礁之上触礁沉没。近日，The Hacker News发布的《Kimsuky Deploys HTTPSpy, Expands Arsenal with HelloDoor and VS Code Tunnels》一文，像一枚警钟，提醒我们：威胁的形态在进化，攻击的手段在升级，防御的盔甲必须与时俱进。本文将以该报道中的真实攻击链为案例，展开三幕“信息安全剧”，帮助大家在头脑风暴中体会风险、在想象力的翅膀下掌握防御技巧，并在数字化、无人化、机器人化的融合新环境中，号召全体职工积极投身即将启动的安全意识培训，携手筑起企业信息安全的钢铁防线。

---

案例一：伪装“安全软件”偷取根基 —— HTTPSpy 变种的双面欺诈

情景复盘
2026 年 3 月至 4 月，朝鲜代号 Kimsuky（亦称 Velvet Chollima） 连续针对韩国军方及企业发起钓鱼攻击。攻击者在公开网络上搭建了一个与 南韩某 B2B 消息服务 安全软件安装页面几乎一模一样的钓鱼站点，声称提供两个防护工具：“防火墙”和“键盘安全”。当受害者点击下载时，实际上下载到了 nos-setup.exe 与 astx-setup.exe 两个恶意安装包——分别冒充 nProtect Online Security 与 AhnLab Safe Transaction（ASTx）。

技术细节
1. 双层加载：恶意 EXE 通过 regsvr32.exe 注册 MemLoader.dll，随后触发批处理脚本自删除，实现“留痕最小化”。
2. 持久化：MemLoader.dll 通过 Scheduled Tasks（计划任务）在系统重启后自动恢复。
3. C2 通信：DLL 主动向攻击者的 C2 服务器发送 GET 请求获取下一阶段负载，攻击者根据请求频次进行“精准投递”。
4. 功能全集：下载的 HTTPSpy RAT（远控木马）具备命令执行、文件上传下载、截图、进程注入、自毁等完整功能。

危害评估
– 企业核心业务泄露：攻击者可通过 RAT 直接窃取内部文档、网络拓扑、凭证等敏感信息。
– 横向渗透：利用进程注入技术，攻击者能够在受害者主机上植入后门，进一步向内部网络扩散。
– 后期难以追踪：自毁功能与计划任务持久化混合，使得传统的文件完整性校验难以发现异常。

教训提炼
– 验证来源：任何软件的下载链接，都应通过官方渠道（如厂商门户、数字签名）核实。
– 最小特权：普通职员不应拥有管理员权限，降低恶意安装的成功率。
– 文件完整性监控：使用 双因素签名校验 与 文件哈希比对，及时捕获未授权的可执行文件。

---

案例二：伪装会议“会中暗杀” —— Webex 假页面与 JSONPing 检测

情景复盘
2026 年 4 月，Kimsuky 再次将“社交工程”升级为“会议工程”。攻击者先获取一名军人或企业职员的真实 Webex 会议日程（据称通过已有的设备或账号泄露），随后搭建伪装成 Cisco Webex 登录页的钓鱼页面。页面弹出提示：“摄像头异常，请下载并运行脚本以修复”。受害者下载后得到一个压缩包，内含加密的 fix-camera.jse（JavaScript 加密脚本）。

技术细节
1. JSE 解密与 PowerShell 下载：JSE 被 PowerShell 通过 Invoke-Expression 解析，下载名为 mTSTCv8.mdxm 的中间下载器。
2. 反沙箱检测：Downloader 在执行前会检测 虚拟机、调试器、CPU 温度 等恶意分析环境，若检测到则自毁或延迟执行。
3. 后门加载：下载器通过 C2 拉取 engine.dat 或 spyInster.dll，后者再加载 cacheMon.dat，最终激活 HTTPSpy。
4. JSONPing 机制：攻击者在受害机器上开启本地 HTTP 服务器，伪装成合法的页面向本地服务器发起 JSONP 请求，以检测 malware 是否已经运行。若未运行，则弹出 “安装提示”。

危害评估
– 会议泄密：攻击者利用真实会议日程诱骗目标，直接在会议参与者之间传播恶意代码，形成“会中暗杀”。
– 实时投放：通过 JSONPing，攻击者实现 实时状态感知，可在受害机未激活时进行二次投放，提升整体渗透成功率。
– 信任链破坏：受害者往往对 Webex 这类熟悉的工具产生信任，而忽略安全警示。

教训提炼
– 会议安全细则：会议链接应采用 唯一的密码 与 时效性 URL，并通过企业内部渠道分发。
– 下载前校验：对任何来自会议页面的下载文件，务必执行 文件哈希比对 与 沙箱预执行。
– 禁用脚本自动运行：在浏览器或系统级别限制 .jse、.vbs、.ps1 等脚本的自动执行。

---

案例三：合法工具沦为暗道 —— VS Code 远程隧道与 DWAgent 的“隐形通道”

情景复盘
在 2026 年的另一波攻击中，Kimsuky 不再单纯依赖恶意下载器，而是 劫持 开发者日常使用的 Microsoft Visual Studio Code（VS Code） 远程隧道功能。攻击者通过钓鱼邮件或供应链植入的方式，让受害者在本地机器上启动 VS Code Remote Tunnels（Quick Tunnel），该隧道本质上是 Cloudflare 的公开隧道服务，会在本地生成一个公网可达的 https://<随机>.dev.tunnels.cloudflare.com 地址。

技术细节
1. 隧道持久化：攻击者在受害机器上植入 DWAgent（开源远程监控管理工具），利用 VS Code 隧道将 DWAgent 的控制端口（如 443）映射至公网。
2. 后渗透载荷：DWAgent 接收到指令后可下载 HelloDoor（Rust 编写、基于 LLM 自动生成代码的轻量后门）以及 HttpMalice（PebbleDash 的最新变种），实现 文件上传、进程注入、系统信息采集。
3. 抗检测手段：VS Code 隧道使用 TLS 加密，且流量混杂在合法的 VS Code 与 Cloudflare 交互中，常规 IDS/IPS 难以区分。
4. 跨平台扩散：DWAgent 支持 Windows、Linux、macOS，因此一次隧道即可连通多平台，极大提升攻击面。

危害评估
– 隐蔽 C2：传统的 C2 服务器往往需要在防火墙上开设专用端口，易被检测；而 VS Code 隧道则直接使用 HTTPS 443，几乎不触发防火墙告警。
– 供应链放大效应：如果开发者的工作站被感染，整个 CI/CD 流水线都有可能被渗透，造成 代码篡改、二进制植入。
– 难以追根：攻击链起始点是合法的开发工具，日志中往往只记录“VS Code 访问 Cloudflare”，难以直接关联恶意活动。

教训提炼
– 工具白名单：对 VS Code Remote Tunneling 功能进行管控，仅在特定项目或网络段开放。
– 审计隧道活性：使用 网络流量可视化平台（如 Zeek、Suricata）检测异常的 dev.tunnels.cloudflare.com 访问。
– 最小化开发环境：在生产环境中采用 容器化或 VM 隔离，即使开发者工作站被攻破，也能将影响范围限制在沙箱内。

---

从案例抽丝剥茧：信息安全的四大底层原则

1. 身份验证永远是第一道防线
   • 所有外部下载、内部脚本、远程隧道均应通过多因素认证（MFA）、数字签名或证书校验进行身份确认。
2. 最小特权原则（Principle of Least Privilege）
   • 员工仅获得完成本人职责所必需的权限。管理员账号应分离、使用特权访问管理（PAM）工具进行审计。
3. 全链路可审计
   • 从 网络入口、终端行为、云服务调用到 日志存储，每一步都要留下不可篡改的审计痕迹。
4. 持续安全教育

   

   • 人是最弱的环节，也是最有潜力的防线。只有让每位职工都成为“安全的第一道防线”，才能真正抵御像 Kimsuky 这样善于“变形”的对手。

---

数字化、无人化、机器人化时代的安全新挑战

1. 自动化生产线的“暗箱”

随着 工业机器人 与 无人仓库 的普及，PLC、SCADA 系统已经不再是单纯的设备，而是与企业业务系统深度耦合的数字孪生。攻击者若能在 办公网络 中植入后门（如 HTTPSpy），便可通过 内部 VPN 渗透至生产层面，导致 生产线停摆、设备破坏。因此，网络分段、零信任（Zero Trust） 体系的落地尤为关键。

2. AI 助手与大模型的“双刃剑”

企业内部越来越多地使用 大语言模型（LLM） 生成代码、撰写文档、自动化回复。Kimsuky 已经在 HelloDoor 中利用 LLM 自动化生成 Rust 代码，以降低开发门槛并实现快速迭代。我们在使用 LLM 时，应当：

• 对生成代码进行 静态分析、安全审计；
• 将 LLM 接口访问限制在 受控网络，并采用 API 访问日志 进行实时监控。

3. 云原生微服务的“隐形追踪”

微服务架构通过 容器 与 服务网格（Service Mesh） 实现高弹性，但也让 网络流量 与 进程交互 变得极其细碎。攻击者可以利用 Sidecar 注入恶意容器，借助 Ingress/Egress 隧道悄悄与外部 C2 通信。对策包括：

• 启用 容器运行时安全（CRS），对所有容器镜像进行 签名验证；
• 部署 Zero Trust 网络分段（eBPF、Istio）实时监控进出流量；
• 对 Kubernetes audit logs 进行集中化分析，以发现异常的 Pod 创建/删除 行为。

---

号召行动：让安全意识培训成为每位同事的必修课

为什么要参与？

1. 防御的第一要素是“人”。 再强大的安全技术，也离不开人的判断与响应。
2. 培训能帮助你识别钓鱼、伪装页面与非法隧道，在第一时间阻断攻击链。
3. 提升个人职场竞争力：在数字化转型的大潮中，懂安全的工程师、运维和管理者更受企业青睐。

培训安排概览

日期	时间	内容	讲师	形式
6 月 12 日	09:30‑11:30	信息安全基础与威胁地图	张工（资深 SOC 分析师）	线上直播 + 案例演练
6 月 19 日	14:00‑16:00	社交工程深度剖析：伪装软件与会议钓鱼	李老师（渗透测试专家）	现场研讨 + 红队演示
6 月 26 日	10:00‑12:00	零信任架构与云原生安全	王博士（云安全顾问）	互动课堂 + 实战实验
7 月 3 日	13:30‑15:30	AI 时代的安全治理：LLM 与代码审计	陈教授（人工智能安全）	案例分析 + 工具实操

报名渠道：公司内部学习平台 “CyberCampus” → “安全培训” → “2026 信息安全意识提升计划”。已完成前置问卷的同事，可自动获取 学习积分 与 内部认证徽章。

学以致用：从“学”到“用”

培训结束后，每位同事将获得 《企业安全手册》电子版，其中包含：

• 安全检查清单：每日/每周/每月的自检步骤。
• 应急响应脚本：遇到可疑邮件、异常登录、未知进程时的快速响应流程。
• 工具箱：安全助手（如 VirusTotal、Hybrid Analysis）与终端检测（如 Sysmon、EDR）使用指南。

让安全文化成为公司基因

“安而不忘危，危而不忘戒。”——《礼记·大学》
信息安全不是一时的突击，而是一场持续的文化养成。我们期待每位同事：

• 主动报告：发现异常立即上报安全中心，形成正反馈回路。
• 互相学习：内部安全沙龙、CTF 竞赛、经验分享会，让知识在团队内部流动。
• 持续改进：定期回顾安全事件（无论大小），从失败中提炼经验，迭代防御策略。

---

结语：在变幻莫测的网络海域，唯有每个人都是灯塔

Kimsuky 的攻击手法从伪装软件到会议钓鱼再到合法工具隧道的层层升级，正映射出当前威胁生态的多样化、隐蔽化、自动化趋势。面对这样的挑战，技术固然关键，人才更是根本。通过本次信息安全意识培训，您不仅可以学会辨别“假安全软件”，还能了解 JSONPing、VS Code 隧道 等前沿攻击技术背后的思路与防御要点，从而在实际工作中做到“防微杜渐、未雨绸缪”。

愿我们在 数字化、无人化、机器人化 的浪潮中，既能拥抱创新，又不失警惕；既能让机器高效工作，也能让人类的安全感落地。让我们携手把信息安全的种子播撒在每一位职工的心田，让它在日常的点击、下载、会议、代码提交中生根发芽，最终长成抵御网络风暴的坚固防线。

让安全成为每一次点触的习惯，让防御成为企业成长的底色。

信息安全·从我做起，守护未来！

昆明亭长朗然科技有限公司专注于信息安全意识培训，我们深知数据安全是企业成功的基石。我们提供定制化的培训课程，帮助您的员工掌握最新的安全知识和技能，有效应对日益复杂的网络威胁。如果您希望提升组织的安全防护能力，欢迎联系我们，了解更多详情。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898