Mengapa Bucket Amazon S3 Dapat Mendistribusikan Binari Jahat?
Cyberrthreat.id - Dalam jenis baru serangan rantai pasokan perangkat lunak yang ditujukan untuk proyek sumber terbuka, terungkap bahwa pelaku ancaman dapat menguasai bucket Amazon S3 yang sudah kadaluwarsa untuk melayani binari nakal tanpa mengubah modulnya sendiri.
"Binari jahat mencuri ID pengguna, kata sandi, variabel lingkungan mesin lokal, dan nama host lokal, lalu mengekstrak data yang dicuri ke keranjang yang dibajak," kata peneliti Checkmarx, Guy Nachshon kepada The Hacker News.
Disebutkan, serangan tersebut pertama kali diamati dalam kasus paket npm yang disebut bignum, yang, hingga versi 0.13.0, mengandalkan bucket Amazon S3 untuk mengunduh versi biner pre-built dari sebuah addon bernama node-pre-gyp selama penginstalan.
"Biner ini diterbitkan pada bucket S3 yang sekarang sudah kadaluwarsa yang telah diklaim oleh pihak ketiga jahat yang sekarang melayani biner yang berisi malware yang mengekstraksi data dari komputer pengguna," menurut penasehat GitHub yang diterbitkan pada 24 Mei 2023 sebagaimana dikutip The Hacker News.
Seorang pelaku ancaman yang tidak diketahui dikatakan telah mengambil kesempatan bahwa S3 bucket pernah aktif mengirimkan malware ketika pengguna yang tidak menaruh curiga mengunduh paket yang dimaksud.
"Jika sebuah paket menunjuk ke sebuah bucket sebagai sumbernya, penunjuk itu akan terus ada bahkan setelah bucket itu dihapus," jelas Nachshon. "Ketidaknormalan ini memungkinkan penyerang untuk mengalihkan penunjuk ke arah bucket yang diambil alih."
Rekayasa balik dari sampel malware telah mengungkapkan bahwa itu mampu menjarah kredensial pengguna dan detail lingkungan, dan mengirimkan informasi ke keranjang yang dibajak yang sama.
Checkmarx mengatakan menemukan banyak paket menggunakan bucket S3 yang ditinggalkan, membuatnya rentan terhadap vektor serangan baru. Jika ada, pengembangan tersebut merupakan tanda bahwa pelaku ancaman terus-menerus mencari berbagai cara untuk meracuni rantai pasokan perangkat lunak.
"Putaran baru dalam ranah pengambilalihan subdomain ini berfungsi sebagai peringatan bagi pengembang dan organisasi," kata Nachshon. "Bucket hosting yang terbengkalai atau subdomain usang bukan hanya artefak yang terlupakan; di tangan yang salah, ini bisa menjadi senjata ampuh untuk pencurian dan gangguan data."
Pengembangan juga terjadi hampir seminggu setelah Cyble menemukan 160 paket python berbahaya yang diperkirakan telah diunduh lebih dari 45.000 kali dan menampilkan kemampuan untuk mengekstrak kredensial login dan detail kartu kredit.[]