研究人員發現了一種軟件供應鏈攻擊，它被用來在在線遊戲玩家的電腦上安裝監控惡意軟件。不明身份的攻擊者針對的是NoxPlayer的特定用戶，NoxPlayer是一個在PC和Mac上模擬Android操作系統的軟件包。人們主要用它來玩這些平台上的移動Android遊戲。NoxPlayer製造商BigNox表示，該軟件在150個國家擁有1.5億用戶。

安全公司Eset週一表示，BigNox軟件分發系統遭到黑客攻擊，並被用來向部分用戶提供惡意更新。最初的更新是在去年9月通過操縱兩個文件交付的：主BigNox二進製文件Nox.exe和下載更新本身的NoxPack.exe。

Eset惡意軟件研究員Ignacio Sanmillan表示：”我們有足夠的證據說明BigNox基礎設施(res06.bignox.com)被入侵以託管惡意軟件，同時也表明他們的HTTP API基礎設施(api.bignox.com)可能已經被入侵，在某些情況下，BigNox更新器從攻擊者控制的服務器下載了額外的有效載荷。這表明，BigNox API回復中提供的URL字段被攻擊者篡改了。”

簡而言之，攻擊是這樣的：在啟動時，Nox.exe會向一個編程接口發送請求，查詢更新信息。BigNox API服務器會響應更新信息，其中包括合法更新的URL。Eset推測，合法的更新可能已經被惡意軟件取代，或者，引入了新的文件名或URL。

然後，惡意軟件被安裝在目標機器上。惡意文件沒有像合法更新那樣進行數字簽名。這說明BigNox軟件構建系統並沒有被入侵，只有提供更新的系統被入侵。惡意軟件會對目標計算機進行有限的偵察。攻擊者會進一步將惡意更新定製到特定的感興趣的目標上。

BigNox API服務器向特定目標響應更新信息，這些信息指向攻擊者控制的服務器上的惡意更新位置。觀察到的入侵流程如下圖所示。合法的BigNox基礎設施正在為特定的更新提供惡意軟件。我們觀察到，這些惡意更新只在2020年9月進行。Sanmillan表示，在安裝了NoxPlayer的10萬多名Eset用戶中，只有5人收到了惡意更新。這些數字凸顯了攻擊的針對性。目標位於台灣、香港和斯里蘭卡。