AWS S3 桶被利用进行恶意攻击

重点摘要

事件：未被识别的攻击者利用被遗弃的 AWS S3 桶，发布恶意载荷。攻击手段：通过一个名为“bignum”的 NPM 包中包含的功能，下载恶意二进制文件。影响：攻击者能够窃取用户 ID、密码及其他敏感信息，最终将数据外泄。解决方案：企业需确保所有软件依赖及其子依赖得到适当审查，并记录在软件材料清单中以便监控。

最近，一名未被识别的攻击者注意到了一个曾经活跃的 AWS S3 桶突然被抛弃，并抓住机会发起了恶意攻击。

事情是这样的：一个名为 bignum 的 NPM 包包含一个用于在安装过程中下载二进制文件的组件，该组件曾托管在一个 AWS S3 桶中。如果无法连接到该桶，软件将会在本地查找该二进制文件。

然而，下载了 bignum 的用户也同时下载了这些恶意的二进制文件，这些文件被用来窃取用户 ID、密码、本地机器环境变量和本地主机名，之后再将数据外泄。这些信息来源于 CheckMarx 于 6 月 15 日发布的 博客。

Checkmarx 的软件工程师 Guy Nachshon 指出：“基本的想法是，攻击者无需改变一行代码，就可以对开源包或库进行污染，往往难以被察觉。”他补充说：“如果一个包引用了来自云端域名下的文件有很多包管理器就是通过这种方式工作的，如果维护者抛弃了该域名或未完成付款，攻击者就可以接管域名，而无人知晓，从而导致包受到感染。”

Keeper Security 的安全和架构副总裁 Patrick Tiquet 表示，问题的核心在于，二进制包的分发来源是一个看似被遗弃且最终被删除的 S3 桶。Tiquet 说，这个 S3 桶似乎仍在现有软件中作为分发点使用，而恶意行为者注意到这个被遗弃的 S3 桶仍作为分发位置使用，于是简单地创建了一个同名的新 S3 桶。

“这使恶意行为者得以用恶意二进制文件替换原来的包，从而将用户和密码信息外泄到外部位置。” Tiquet 说，“这不仅是软件二进制分发的问题，还涉及 IP 地址、域名、引用的 JavaScript 库甚至是闲置的子域名。一旦存在一个之前受信任的分发位置被遗弃，恶意行为者就可以控制这个地址或位置，并悄悄分发恶意载荷。”

Salt Security 的现场首席技术官 Nick Rago 补充说，开发者在构建应用程序和服务时，常常依赖第三方、社区驱动的开源软件包和组件。这些第三方包本身也依赖其他第三方组件，形成了层层的依赖关系。

Rago 表示：“被劫持的 S3 威胁提醒我们，组织必须理解并检查所有软件依赖及其子依赖，以及他们所依赖的任何存储库或托管资源，确保它们得到适当审核并记录在软件材料清单中，以便进行监控。”他继续说：“一旦识别出开源威胁，组织必须具备识别该威胁是否适用于其系统的能力。”

水母梯子app

通过上述内容，可以看出，确保供应链安全和对开源软件的审查是至关重要的，以防止潜在的攻击和数据损失。