据深信服安全运营中心（MSS）安服应急响应团队和深信服蓝军高级威胁（APT）团队监测，监测到PHP/JAVA部署工具OneinStack遭受供应链投毒攻击，官方网站下载安装包被植入恶意链接，已发现境内受感染用户，截止发布时间，相关恶意IoC情报尚未被多数威胁情报平台标记。（oneinstack-full.tar.gz，fc897d5abba2dbff00fb6b88da878ba8）

官网OneinStack安装程序中/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。用户从恶意地址下载oneinstack.jpg后，oneinstack.jpg会解压并执行./cron目录下load（只在RedHat服务器运行）。

受害主机中同时存在后续下载的t.jpg，s.jpg，install，cr.jpg，libaudit.so.2等恶意文件。

通过crond、yasio等进程建立DNS隧道通信。

目前作者已确认该事件。

更多相关事件技术分析详情近日将在公众号发布。

https://github.com/oneinstack/oneinstack/issues/487