Tehdit aktörlerinin, gerçek modülleri değiştirmeden hileli ikili dosyalara hizmet vermek için süresi dolmuş Amazon S3 klasörlerini devralabileceği keşfedildi.
Kötü amaçlı ikili dosyalar, kullanıcı adlarını, parolaları, yerel makine ortamı değişkenlerini ve yerel ana bilgisayar adını çaldıktan sonra çalınan verileri saldırıya uğramış kovaya sızdırır.
.png
)
Saldırı ilk olarak, kurulum sırasında node-pre-gyp adlı bir eklentinin önceden oluşturulmuş ikili sürümlerini indirmek için 0.13.0 sürümüne kadar bir Amazon S3 klasörüne dayanan bignum adlı bir npm paketi buna maruz kaldığında fark edildi.
Checkmarx tarafından paylaşılan raporlara göre saldırganlar, tek bir kod satırını değiştirmeden NPM paketi “bignum” için gereken ikili dosyaları sunan S3 kovasına kötü amaçlı ikili dosyalar yerleştirdi.
24 Mayıs 2023’te yayınlanan bir GitHub danışma belgesine göre, “Bu ikili dosyalar, o zamandan beri kötü niyetli bir üçüncü tarafça talep edilen ve artık kullanıcının bilgisayarından veri sızdıran kötü amaçlı yazılım içeren ikili dosyalara hizmet veren, süresi dolmuş bir S3 klasöründe yayınlandı”.
“S3 Kovaları” nedir?
Amazon Web Services (AWS) tarafından sunulan bir depolama özelliği olan S3 kovası kullanılarak büyük hacimli veriler çevrimiçi olarak depolanabilir ve alınabilir.
Dosyalar, belgeler, fotoğraflar ve videolar dahil her türlü dijital içeriği depolayabilen, ölçeklenebilir, güvenli bir nesne depolama hizmetidir.
S3 kovaları, belirli URL’ler kullanılarak erişilebildiğinden, web siteleri barındırma, veri yedekleme ve arşivleme, içerik dağıtımı ve uygulama verileri depolama dahil olmak üzere çeşitli amaçlar için sıklıkla kullanılır.
Terk Edilmiş Bir S3 Kovasının Kontrolünü Ele Almak
Bilinmeyen bir saldırgan, daha önce çalışır durumda olan bir AWS klasörünün aniden terk edildiğini gözlemledi. Saldırgan bir açıklık fark ettikten sonra terk edilmiş kovayı kaptı.
Sonuç olarak, Bignum her indirildiğinde veya yeniden yüklendiğinde, kullanıcılar istemeden saldırganın yerleştirdiği kötü amaçlı ikili dosyayı indirdiler.
Her AWS S3 klasörünün küresel olarak farklı bir ada ihtiyacı vardır. Grup kaldırıldıktan sonra ad erişilebilir hale gelir. Bir paket, kaynağı olarak bir grup kullandıysa, paketin silinmesi işaretçiyi etkilemez.
Bu anormallik nedeniyle saldırgan, işaretçiyi kaçırılan kovaya yeniden yönlendirebilir.
Araştırmacılar, “Bir paket, kaynağı olarak bir kovayı işaret ederse, işaretçi, kova silindikten sonra bile var olmaya devam eder” dedi.
“Bu anormallik, saldırganın işaretçiyi ele geçirilen kovaya yönlendirmesine izin verdi.”
Kötü amaçlı yazılım örneğinin, kullanıcı kimlik bilgilerini ve ortam bilgilerini çalma ve onu aynı ele geçirilen kovaya aktarma yeteneği, tersine mühendislik yoluyla keşfedildi.
Checkmarx’a göre, birkaç program terk edilmiş S3 kovaları kullanıyordu ve bu da onları yaratıcı saldırı vektörüne karşı savunmasız hale getiriyordu. Bulgu, tehdit aktörlerinin yazılım tedarik zincirini etkilemek için sürekli olarak yeni yöntemler aradıklarını gösteriyor.
Siber güvenlik haberleri, bu yeni saldırı vektörünün birçok etkisinin olabileceğini öğrendi. Ancak, bir saldırgan bu tür bir değişiklik gerçekleşir gerçekleşmez onu kullanırsa, oluşturduğu tehdit oldukça yüksek olabilir.
Dondurulmuş sürümleri veya yapıtları kullanan kuruluşlar veya geliştiriciler, artık ele geçirilmiş olan orijinal klasöre erişmeye devam edecekleri için daha fazla tehlike altındadır.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin