iT邦幫忙

2023 iThome 鐵人賽

DAY 26
0
影片教學

資安 Vtuber 語野飛陪你讀新聞學資安知識系列 第 26

Day26 資安 Vtuber 讀新聞:雲端與供應鏈安全(新型態供應鏈攻擊利用廢棄的S3儲存桶來散布惡意程式)

  • 分享至 

  • xImage
  •  

新聞網址:https://www.ithome.com.tw/news/157442
新聞標題:新型態供應鏈攻擊利用廢棄的S3儲存桶來散布惡意程式
Yes

基礎知識

供應鏈攻擊 (Supply Chain Attack)

  • 定義

    • 軟體開發流程 or 廠商上下游進行攻擊,最終影響攻擊目標

AWS (Amazon Web Services)

  • 定義

    • Amazon 在雲端提供伺服器架設、資料庫等服務

S3儲存桶

S3 Buckets

  • 定義

    • Amazon Web Services (AWS) 提供的物件儲存服務
  • 目的

    • 允許使用者儲存、查詢任意資料
  • 每個 S3 儲存桶都有一個獨特的名稱,用於存放檔案

npm 套件

  • 定義

    • Node.js 套件管理器,用於管理、發布和使用 Javascript 程式碼函式庫

node-pre-gyp

  • 定義

    • 一個工具,允許使用者編譯並發佈二進位節點插件到 npm

凍結版本

  • 定義

    • 指在特定時間點的軟體版本,不會因後續的更新而改變

事件整理

背景

  • 開源套件管理器 npm

    • bignum 套件

      • 舊版本

        • 使用 AWS 的 S3 儲存桶

        • 來下載預先建置的二進位檔案

攻擊

  • 駭客發現

    • bignum 的作者更新了套件

    • 決定棄置某些 S3 儲存桶

  • 駭客接管

    • 被棄置的 S3 儲存桶

    • 植入了具有惡意功能的二進位檔案

    • 檔案能夠竊取使用者的憑證

發現

  • GitHub

    • 2023 年 5 月

      • 揭露事件
  • 資安業者

    • Checkmarx

      • 新型態供應鏈攻擊

      • 鎖定開源生態體系中被棄置的 S3 儲存桶

問題

  • S3 儲存桶都有獨特的名稱

    • 儲存桶被刪除

    • 名稱可以被重新使用

    • 提供駭客進行攻擊的機會

影響

  • bignum 0.12.2~0.13.0

    • 工具 node-pre-gyp

      • 會在安裝時選擇性地下載

      • 存放在S3儲存桶中的預先建置的二進位檔案

對策

  • 避免這些被棄置的 S3 儲存桶落入駭客的手中

  • Checkmarx

    • 決定搶先一步接管開源套件中所有被棄置的儲存桶

    • 存取儲存桶會看到 Checkmarx 免責聲明

小試身手

哪一個服務被駭客利用來散布惡意程式

  • A. Azure Blob Storage

  • B. Google Cloud Storage

  • C. AWS S3 儲存桶

  • D. Dropbox

  • 答案

    • C. AWS S3 儲存桶

駭客是如何植入惡意程式的

  • A. 修改 npm 原始碼

  • B. 接管廢棄的 S3 儲存桶

  • C. 透過 email 釣魚攻擊

  • D. 利用漏洞注入程式碼

  • 答案

    • B. 接管廢棄的 S3 儲存桶

為什麼駭客能夠接管被刪除的 S3 儲存桶

  • A. AWS 的系統錯誤

  • B. 儲存桶名稱可以被重新使用

  • C. 使用弱密碼

  • D. 駭客有 AWS 管理員權限

  • 答案

    • B. 儲存桶名稱可以被重新使用

這次事件主要針對的是什麼類型的攻擊

  • A. DDoS攻擊

  • B. 釣魚攻擊

  • C. 病毒攻擊

  • D. 供應鏈攻擊

  • 答案

    • D. 供應鏈攻擊

駭客在儲存桶中植入的惡意程式

主要用於什麼

  • A. 擾亂系統運作

  • B. 顯示廣告

  • C. 竊取使用者憑證

  • D. 製造 DDoS 攻擊

  • 答案

    • C. 竊取使用者憑證

上一篇
Day25 資安 Vtuber 讀新聞:VPN 的重要性 (微軟、Cloudflare公布Edge內建VPN完整方案、開發工具套件)
下一篇
Day27 資安 Vtuber 讀新聞:竊密程式竊取你的個資(逾 10 萬個 ChatGPT 帳號憑證被放上暗網兜售)
系列文
資安 Vtuber 語野飛陪你讀新聞學資安知識30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言