Novo ataque em cadeia de suprimentos explora buckets S3 abandonados para distribuir binários maliciosos
16 de Junho de 2023

Em um novo tipo de ataque à cadeia de suprimentos de software, direcionado a projetos de código aberto, foi descoberto que atores de ameaças poderiam assumir o controle de buckets expirados da Amazon S3 para servir binários maliciosos sem alterar os módulos em si.

"Os binários maliciosos roubam os IDs de usuário, senhas, variáveis de ambiente da máquina local e nome do host local, e depois exfiltram os dados roubados para o bucket sequestrado", disse o pesquisador do Checkmarx, Guy Nachshon.

O ataque foi observado pela primeira vez no caso de um pacote npm chamado bignum, que, até a versão 0.13.0, dependia de um bucket da Amazon S3 para baixar versões binárias pré-construídas de um complemento chamado node-pre-gyp durante a instalação.

"Esses binários foram publicados em um bucket da S3 expirado que desde então foi reivindicado por um terceiro malicioso que agora está servindo binários contendo malware que exfiltra dados do computador do usuário", de acordo com um aviso do GitHub publicado em 24 de maio de 2023.

Um ator de ameaça desconhecido teria se aproveitado da oportunidade de que o bucket da S3 já foi ativo para entregar malware quando usuários desprevenidos baixaram o pacote em questão.

"Se um pacote apontava para um bucket como sua fonte, o ponteiro continuaria a existir mesmo após a exclusão do bucket", explicou Nachshon.

"Essa anormalidade permitiu que o atacante redirecionasse o ponteiro para o bucket sequestrado".

Uma engenharia reversa da amostra de malware revelou que ele é capaz de saquear credenciais de usuário e detalhes do ambiente, e transmitir as informações para o mesmo bucket sequestrado.

O Checkmarx disse ter encontrado inúmeros pacotes usando buckets da S3 abandonados, tornando-os suscetíveis ao novo vetor de ataque.

Seja como for, o desenvolvimento é um sinal de que os atores de ameaças estão constantemente procurando maneiras diferentes de envenenar a cadeia de suprimentos de software.

"Esta nova reviravolta no domínio das tomadas de subdomínio serve como um alerta para desenvolvedores e organizações", disse Nachshon.

"Um bucket de hospedagem abandonado ou um subdomínio obsoleto não é apenas um artefato esquecido; nas mãos erradas, pode se tornar uma arma potente para roubo de dados e intrusão".

O desenvolvimento também vem quase uma semana depois que a Cyble descobriu 160 pacotes Python maliciosos que estima-se terem sido baixados mais de 45.000 vezes e apresentavam capacidades para extrair credenciais de login e detalhes de cartão de crédito.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...