新聞網址：https://www.ithome.com.tw/news/157442
新聞標題：新型態供應鏈攻擊利用廢棄的S3儲存桶來散布惡意程式

基礎知識

供應鏈攻擊 (Supply Chain Attack)

• 定義

  • 軟體開發流程 or 廠商上下游進行攻擊，最終影響攻擊目標

AWS (Amazon Web Services)

• 定義

  • Amazon 在雲端提供伺服器架設、資料庫等服務

S3儲存桶

S3 Buckets

• 定義

  • Amazon Web Services (AWS) 提供的物件儲存服務

• 目的

  • 允許使用者儲存、查詢任意資料

• 每個 S3 儲存桶都有一個獨特的名稱，用於存放檔案

npm 套件

• 定義

  • Node.js 套件管理器，用於管理、發布和使用 Javascript 程式碼函式庫

node-pre-gyp

• 定義

  • 一個工具，允許使用者編譯並發佈二進位節點插件到 npm

凍結版本

• 定義

  • 指在特定時間點的軟體版本，不會因後續的更新而改變

事件整理

背景

• 開源套件管理器 npm

  • bignum 套件

    • 舊版本

      • 使用 AWS 的 S3 儲存桶

      • 來下載預先建置的二進位檔案

攻擊

• 駭客發現

  • bignum 的作者更新了套件

  • 決定棄置某些 S3 儲存桶

• 駭客接管

  • 被棄置的 S3 儲存桶

  • 植入了具有惡意功能的二進位檔案

  • 檔案能夠竊取使用者的憑證

發現

• GitHub

  • 2023 年 5 月

    • 揭露事件

• 資安業者

  • Checkmarx

    • 新型態供應鏈攻擊

    • 鎖定開源生態體系中被棄置的 S3 儲存桶

問題

• S3 儲存桶都有獨特的名稱

  • 儲存桶被刪除

  • 名稱可以被重新使用

  • 提供駭客進行攻擊的機會

影響

• bignum 0.12.2~0.13.0

  • 工具 node-pre-gyp

    • 會在安裝時選擇性地下載

    • 存放在S3儲存桶中的預先建置的二進位檔案

對策

• 避免這些被棄置的 S3 儲存桶落入駭客的手中

• Checkmarx

  • 決定搶先一步接管開源套件中所有被棄置的儲存桶

  • 存取儲存桶會看到 Checkmarx 免責聲明

小試身手

哪一個服務被駭客利用來散布惡意程式

• A. Azure Blob Storage

• B. Google Cloud Storage

• C. AWS S3 儲存桶

• D. Dropbox

• 答案

  • C. AWS S3 儲存桶

駭客是如何植入惡意程式的

• A. 修改 npm 原始碼

• B. 接管廢棄的 S3 儲存桶

• C. 透過 email 釣魚攻擊

• D. 利用漏洞注入程式碼

• 答案

  • B. 接管廢棄的 S3 儲存桶

為什麼駭客能夠接管被刪除的 S3 儲存桶

• A. AWS 的系統錯誤

• B. 儲存桶名稱可以被重新使用

• C. 使用弱密碼

• D. 駭客有 AWS 管理員權限

• 答案

  • B. 儲存桶名稱可以被重新使用

這次事件主要針對的是什麼類型的攻擊

• A. DDoS攻擊

• B. 釣魚攻擊

• C. 病毒攻擊

• D. 供應鏈攻擊

• 答案

  • D. 供應鏈攻擊

駭客在儲存桶中植入的惡意程式

主要用於什麼

• A. 擾亂系統運作

• B. 顯示廣告

• C. 竊取使用者憑證

• D. 製造 DDoS 攻擊

• 答案

  • C. 竊取使用者憑證