Χακαρισμένα S3 buckets χρησιμοποιούνται σε επιθέσεις σε πακέτα npm.
Οι χάκερ χρησιμοποιούν ληγμένα S3 buckets της Amazon Web Services (AWS) για να τοποθετήσουν κακόβουλο κώδικα σε ένα νόμιμο πακέτο στο αποθετήριο npm χωρίς να χρειάζεται να πειράξουν τον κώδικα.
Η εταιρεία ασφάλειας λογισμικού Checkmarx δήλωσε ότι άρχισε να διεξάγει έρευνα αφού το GitHub δημοσίευσε μια συμβουλή στα τέλη του περασμένου μήνα σχετικά με διάφορες εκδόσεις ενός πακέτου npm με την ονομασία bignum, το οποίο είχε καταληφθεί από cybercrooks και εξυπηρετούσε κακόβουλα binaries που έκλεβαν πληροφορίες όπως αναγνωριστικά χρηστών, κωδικούς πρόσβασης και local host names από τα συστήματα των θυμάτων.
Οι μηχανικοί της InfoSec έγραψαν μια έκθεση που περιγράφει το ζήτημα, σημειώνοντας ότι ενώ η απειλή του πακέτου BigNum μετριάστηκε με μια νέα έκδοση, διαπίστωσαν ότι δεκάδες άλλα πακέτα ανοιχτού κώδικα στο αποθετήριο κώδικα NPM ήταν ευάλωτα στην ίδια επίθεση.
Τα αποθετήρια κώδικα υπό επίθεση
Αυτή η τελευταία απειλή αποτελεί μέρος μιας αυξανόμενης τάσης ομάδων που εξετάζουν την αλυσίδα εφοδιασμού λογισμικού ως έναν εύκολο τρόπο για να αναπτύξουν το κακόβουλο λογισμικό τους και να το βοηθήσουν να φτάσει γρήγορα σε μια ευρεία βάση πιθανών θυμάτων. Μέσω επιθέσεων σε npm και άλλα αποθετήρια όπως το GitHub, το Python Package Index (PyPI) και το RubyGems, οι κακοί προσπαθούν να τοποθετήσουν τον κακόβουλο κώδικά τους σε πακέτα που στη συνέχεια κατεβαίνουν από τους προγραμματιστές και χρησιμοποιούνται στις εφαρμογές τους.
Σε αυτή την περίπτωση, βρήκαν το δρόμο τους μέσω των εγκαταλελειμμένων S3 buckets, οι οποίοι αποτελούν μέρος των υπηρεσιών αποθήκευσης αντικειμένων AWS που επιτρέπουν στους οργανισμούς να αποθηκεύουν και να ανακτούν τεράστιες ποσότητες δεδομένων – αρχεία, έγγραφα και εικόνες, μεταξύ άλλων ψηφιακού περιεχομένου – στο cloud. Η πρόσβαση σε αυτούς τους κάδους γίνεται μέσω μοναδικών διευθύνσεων URL και χρησιμοποιούνται για εργασίες όπως η φιλοξενία ιστότοπων και η δημιουργία αντιγράφων ασφαλείας δεδομένων.
Το πακέτο bignum χρησιμοποίησε το node-gyp, ένα εργαλείο γραμμής εντολών γραμμένο σε Node.js, για τη λήψη ενός δυαδικού αρχείου που αρχικά φιλοξενήθηκε σε έναν S3 bucket. Εάν δεν ήταν δυνατή η πρόσβαση στο bucket, το πακέτο κλήθηκε να αναζητήσει τοπικά το δυαδικό αρχείο.
Κλοπή και εξαγωγή credentials
Το κακόβουλο binary λειτουργούσε όπως το αρχικό, αλλά έκλεβε και credentials και τα έστελνε στο hijacked bucket, με τα δεδομένα να εξάγονται μέσω μιας αίτησης GET. Επρόκειτο για ένα μεταγλωττισμένο σε C/C++ binary που καλούνταν σε εφαρμογές JavaScript, υποστηρίζοντας τόσο βιβλιοθήκες JavaScript όσο και βιβλιοθήκες C/C++, γεγονός που επέτρεπε στις μονάδες Node.js να έχουν πρόσβαση σε κώδικα χαμηλότερου επιπέδου και να επεκτείνουν την επιφάνεια επίθεσης.
Πηγή πληροφοριών: theregister.com
