新一代供应链安全攻击面

admin 2024年5月2日06:28:11评论8 views字数 1838阅读6分7秒阅读模式

0x01 前言

本文所写是近期一些新型的开源以及软件供应链攻击方式,也是新一代的供应链安全攻击方式。

0x02 软件供应链攻击:劫持 S3 存储桶

在2023年5月24号,Github发布 "bignum 预构建二进制文件中的恶意软件"

  • bignum 从 v0.12.2 到 v0.13.0(含)版本使用 node-pre-gyp 有选择地下载插件的预构建二进制版本。这些二进制文件发布在现已过期的 S3 存储桶上,该存储桶已被恶意第三方占用,该第三方现在正在提供包含恶意软件的二进制文件,这些恶意软件会从用户计算机中窃取数据。
https://github.com/advisories/GHSA-7cgc-fjv4-52x6
新一代供应链安全攻击面

报告中的 “bignum” 最新版本 0.13.1 还是是在四年前更新的

https://www.npmjs.com/package/bignum
新一代供应链安全攻击面
  • 这些二进制文件发布在现已过期的 S3 存储桶上,该存储桶已被恶意第三方占用,该第三方现在正在提供包含恶意软件的二进制文件,这些恶意软件会从用户计算机中窃取数据。

以上内容是Github报告上需要重点注意的 “已过期的S3存储桶”

S3存储桶 是 Amazon Web Services (AWS) 提供的存储资源,允许用户通过 Internet 存储和检索大量数据。它充当可扩展且安全的对象存储服务,存储文件、文档、图像、视频和任何其他类型的数字内容。 S3存储桶 可以使用唯一的 URL 进行访问,使其广泛用于各种用途,例如网站托管、数据备份和归档、内容分发和应用程序数据存储。

bignum 的 NPM 包被在安装过程中利用 node-gyp 下载二进制文件。

  • node-gyp 是一个工具,用于编译Node.js插件模块。它允许开发者编写使用C++编写的Node.js模块,并且通过编译生成可在特定平台上运行的二进制文件。这些模块通常被称为“插件”或“扩展”,它们可以通过Node.js的require()函数在JavaScript代码中被引入和使用。“node-gyp”提供了一个跨平台的构建系统,能够在不同的操作系统上生成适用于Node.js的模块二进制文件。

于是攻击者注意到现在这个被废弃的S3存储桶并获取了这个废弃存储桶的控制权(也就是漏洞挖掘当中的S3桶劫持)。因此,每当用户尝试下载或重新安装“bignum”时,他们将下载这些恶意的文件。

新一代供应链安全攻击面
https://rvagg-node.s3-us-west-2.amazonaws.com/

新一代供应链安全攻击面每个S3存储桶必须有一个唯一的名字,当删除存储桶后,该名称将再次可用。如果安装包指向一个存储桶作为下载地址,则即使在删除存储桶后,但是指向的下载地址仍然继续存在。所以这也就给了攻击者一个劫持S3桶的机会,其实这种方式包括但不限于 S3桶,阿里云OSS 等等。

新一代供应链安全攻击面

0x03 开源供应链攻击:欺骗开发人员

  • 攻击者操纵Github搜索结果,在热门的主题和项目下创建恶意代码存储库。通过更新机器账号点击的星标 等技术来提高搜索排名,欺骗开发人员。攻击者通常将恶意代码隐藏在 Visual Studio项目文件中,例如 .csproj.vcxproj,用来绕过AV/EDR的检测,而在项目生成时自动执行。
新一代供应链安全攻击面
新一代供应链安全攻击面
新一代供应链安全攻击面

攻击者会利用 GitHub Actions 通过修改文件,似的当前日期时间有所改动,以非常高的频率自动更新存储库。这种持续的活动人为地提高了存储库的可见性,尤其是在用户通过 “最近更新” 过滤结果时,增加了用户无意间找到并访问它们的可能性。

新一代供应链安全攻击面
新一代供应链安全攻击面

虽然自动更新有所帮助,但攻击者结合了另一种技术来增加他们存储库的有效性,使其达到更好的欺骗效果。

攻击者利用多个虚假账户添加虚假的星标Star,伪装当前项目受欢迎程度和可信度的假象。这进一步提高了存储库的可见性,特别是在用户按照 “最多星标” 过滤结果的情况下。

新一代供应链安全攻击面

这里可以看见,很多关注他的项目的用户大多都是同一天创建的账号,这种很大概率基本都是机器人账号用来刷自己Github项目星标的(通俗的来讲就是刷Github某个项目的关注)

供应链安全建设 刻不容缓,目前国际上攻击者对于供应链攻击的方式各有特色,包括最近的xz后门以及在2024年3月25日发布的使用假 Python 基础设施进行攻击 等。

0x04 结尾

承接红蓝对抗、安全众测、安全培训、CTF代打、CTF培训、PHP / JAVA / GO / Python 代码审计、渗透测试、应急响应、免杀/远控开发、二进制漏洞挖掘 等等的安全项目,请联系下方微信。

新一代供应链安全攻击面

原文始发于微信公众号(不懂安全的校长):新一代供应链安全攻击面

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月2日06:28:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新一代供应链安全攻击面https://cn-sec.com/archives/2701457.html

发表评论

匿名网友 填写信息