En lo que es un nuevo tipo de ataque a la cadena de suministro de software dirigido a proyectos de código abierto, ha surgido que los actores de amenazas podrían tomar el control de los cubos caducados de Amazon S3 para servir binarios no autorizados sin alterar los propios módulos.
«Los binarios maliciosos roban los ID de usuario, las contraseñas, las variables de entorno de la máquina local y el nombre del host local, y luego extraen los datos robados al depósito secuestrado». Checkmarx dijo el investigador Guy Nachshon.
El ataque se observó por primera vez en el caso de un paquete npm llamado número grandeque, hasta la versión 0.13.0, dependía de un depósito de Amazon S3 para descargar versiones binarias preconstruidas de un complemento llamado node-pre-gyp durante la instalación.
«Estos archivos binarios se publicaron en un contenedor S3 que ya ha caducado y que desde entonces ha sido reclamado por un tercero malicioso que ahora sirve archivos binarios que contienen malware que extrae datos de la computadora del usuario», según un Aviso de GitHub publicado el 24 de mayo de 2023.
Se dice que un actor de amenazas desconocido aprovechó la oportunidad de que el depósito S3 estuviera activo para entregar malware cuando los usuarios desprevenidos descargaron el paquete en cuestión.
«Si un paquete señalara a un depósito como su fuente, el puntero continuaría existiendo incluso después de la eliminación del depósito», explicó Nachshon. «Esta anormalidad permitió al atacante desviar el puntero hacia el cubo tomado».
Una ingeniería inversa de la muestra de malware ha revelado que es capaz de saquear las credenciales del usuario y los detalles del entorno, y transmitir la información al mismo depósito secuestrado.
Checkmarx dijo que encontró numerosos paquetes que usaban cubos S3 abandonados, haciéndolos susceptibles al nuevo vector de ataque. En todo caso, el desarrollo es una señal de que los actores de amenazas están constantemente buscando diferentes formas de envenenar la cadena de suministro de software.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«Este nuevo giro en el ámbito de las adquisiciones de subdominios sirve como una llamada de atención para los desarrolladores y las organizaciones», dijo Nachshon. «Un cubo de alojamiento abandonado o un subdominio obsoleto no es solo un artefacto olvidado; en las manos equivocadas, puede convertirse en un arma poderosa para el robo de datos y la intrusión».
El desarrollo también llega casi una semana después de Cyble. desenterrado 160 paquetes de python maliciosos que se estima que se han descargado más de 45 000 veces y cuentan con capacidades para extraer credenciales de inicio de sesión y detalles de tarjetas de crédito.