新一代供应链安全攻击面

0x01 前言

本文所写是近期一些新型的开源以及软件供应链攻击方式，也是新一代的供应链安全攻击方式。

0x02 软件供应链攻击：劫持 S3 存储桶

在2023年5月24号，Github发布 "bignum 预构建二进制文件中的恶意软件"

• bignum 从 v0.12.2 到 v0.13.0（含）版本使用 node-pre-gyp 有选择地下载插件的预构建二进制版本。这些二进制文件发布在现已过期的 S3 存储桶上，该存储桶已被恶意第三方占用，该第三方现在正在提供包含恶意软件的二进制文件，这些恶意软件会从用户计算机中窃取数据。

https://github.com/advisories/GHSA-7cgc-fjv4-52x6

报告中的 “bignum” 最新版本 0.13.1 还是是在四年前更新的

https://www.npmjs.com/package/bignum

• 这些二进制文件发布在现已过期的 S3 存储桶上，该存储桶已被恶意第三方占用，该第三方现在正在提供包含恶意软件的二进制文件，这些恶意软件会从用户计算机中窃取数据。

以上内容是Github报告上需要重点注意的 “已过期的S3存储桶”

S3存储桶 是 Amazon Web Services (AWS) 提供的存储资源，允许用户通过 Internet 存储和检索大量数据。它充当可扩展且安全的对象存储服务，存储文件、文档、图像、视频和任何其他类型的数字内容。 S3存储桶 可以使用唯一的 URL 进行访问，使其广泛用于各种用途，例如网站托管、数据备份和归档、内容分发和应用程序数据存储。

bignum 的 NPM 包被在安装过程中利用 node-gyp 下载二进制文件。

• node-gyp 是一个工具，用于编译Node.js插件模块。它允许开发者编写使用C++编写的Node.js模块，并且通过编译生成可在特定平台上运行的二进制文件。这些模块通常被称为“插件”或“扩展”，它们可以通过Node.js的require()函数在JavaScript代码中被引入和使用。“node-gyp”提供了一个跨平台的构建系统，能够在不同的操作系统上生成适用于Node.js的模块二进制文件。

于是攻击者注意到现在这个被废弃的S3存储桶并获取了这个废弃存储桶的控制权（也就是漏洞挖掘当中的S3桶劫持）。因此，每当用户尝试下载或重新安装“bignum”时，他们将下载这些恶意的文件。

https://rvagg-node.s3-us-west-2.amazonaws.com/

每个S3存储桶必须有一个唯一的名字，当删除存储桶后，该名称将再次可用。如果安装包指向一个存储桶作为下载地址，则即使在删除存储桶后，但是指向的下载地址仍然继续存在。所以这也就给了攻击者一个劫持S3桶的机会，其实这种方式包括但不限于 S3桶，阿里云OSS 等等。

0x03 开源供应链攻击：欺骗开发人员

• 攻击者操纵Github搜索结果，在热门的主题和项目下创建恶意代码存储库。通过更新 和 机器账号点击的星标 等技术来提高搜索排名，欺骗开发人员。攻击者通常将恶意代码隐藏在 Visual Studio项目文件中，例如 .csproj 或 .vcxproj，用来绕过AV/EDR的检测，而在项目生成时自动执行。

攻击者会利用 GitHub Actions 通过修改文件，似的当前日期时间有所改动，以非常高的频率自动更新存储库。这种持续的活动人为地提高了存储库的可见性，尤其是在用户通过 “最近更新” 过滤结果时，增加了用户无意间找到并访问它们的可能性。

虽然自动更新有所帮助，但攻击者结合了另一种技术来增加他们存储库的有效性，使其达到更好的欺骗效果。

攻击者利用多个虚假账户添加虚假的星标Star，伪装当前项目受欢迎程度和可信度的假象。这进一步提高了存储库的可见性，特别是在用户按照 “最多星标” 过滤结果的情况下。

这里可以看见，很多关注他的项目的用户大多都是同一天创建的账号，这种很大概率基本都是机器人账号用来刷自己Github项目星标的(通俗的来讲就是刷Github某个项目的关注)

供应链安全建设 刻不容缓，目前国际上攻击者对于供应链攻击的方式各有特色，包括最近的xz后门以及在2024年3月25日发布的使用假 Python 基础设施进行攻击 等。

0x04 结尾

承接红蓝对抗、安全众测、安全培训、CTF代打、CTF培训、PHP / JAVA / GO / Python 代码审计、渗透测试、应急响应、免杀/远控开发、二进制漏洞挖掘 等等的安全项目，请联系下方微信。