植入恶意代码的JS文件被安装在250多家美国新闻媒体网站之上，其中包括国家新闻机构在内的不少重量级新闻机构；

恶意代码在网站上显示虚假更新警告，再利用伪装成浏览器更新但实为恶意软件有效载荷的文件感染网站访问者。

安全内参11月3日消息，有恶意黑客侵入并操纵某家未公开名字的媒体公司基础设施，在美国数百家报纸的网站上部署了SocGholish JavaScript恶意软件框架（又名FakeUpdates）。

美国安全厂商Proofpoint威胁研究与检测副总裁Sherrod DeGrippo向媒体证实，“被黑的是一家主要向新闻机构提供视频和广告内容的媒体公司，一直服务于美国多个市场上的不同企业。”

这次供应链攻击背后的恶意团伙被Proofpion命名为TA569，他们将恶意软件注入各新闻媒体网站加载的正常JavaScript文件中。

该恶意JavaScript文件随后会安装SocGholish，后者会在网站上显示虚假更新警告，再利用伪装成浏览器更新但实为恶意软件有效载荷的文件（例如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip等）感染网站访问者。

Proofpoint公司威胁洞察团队在推文中透露，“我们观察到，一家为众多主要新闻机构提供服务的媒体公司发生了间歇性恶意注入。这家媒体一直通过JavaScript为各合作伙伴提供内容。”

“原来的正常JavaScript代码文件遭到篡改，恶意黑客借此部署了SocGholish。”

据Proofpoint安全研究人员介绍，该恶意软件已被安装在250多家美国新闻媒体网站之上，其中包括不少重量级新闻机构。

虽然尚不清楚受影响新闻机构的确切数量，但Proofpoint表示包括国家新闻机构在内，已经有纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体因此受害。

DeGrippo还提到，“TA569此前就曾利用媒体公司资产传播过SocGholish。这种恶意软件可能引发后续感染，包括潜在的勒索软件攻击。”

“必须密切监视这种情况。Proofpoint已经观察到，TA569曾在目标资产被修复的几天之后，再次将其感染。”