Buckets S3 abandonados utilizados para propagar malware
Investigadores de ciberseguridad de Checkmarx han advertido de que los buckets abandonados de Amazon Simple Storage Service (S3) pueden utilizarse para propagar malware.
Todo comenzó con un paquete NPM llamado "bignum" que tenía la capacidad de descargar archivos de un cubo S3 de Amazon AWS al instalarlo. Desafortunadamente, aquellos que obtenían bignum descargaban sin querer archivos maliciosos diseñados para usuarios críticos. Incluso si el bucket era inaccesible, el programa buscaba los datos localmente.
En una entrada de blog, el investigador de Checkmarx, Guy Nachshon describió cómo los actores de amenazas pueden tomar el control de cubos de S3 abandonados y utilizarlos para distribuir binarios maliciosos. Nachshon explicó que muchos paquetes de software de código abierto dependen de los buckets de S3 para distribuir archivos binarios. Si se abandona un bucket de S3, puede seguir utilizándose como punto de distribución de archivos binarios maliciosos.
Esto se debe a que cuando un paquete de software de código abierto intenta descargar un archivo binario de un bucket de S3, seguirá intentando descargar el archivo aunque el bucket haya sido abandonado. Si el atacante ha tomado el control del bucket S3 abandonado, puede sustituir el archivo binario legítimo por uno malicioso. Esto significa que los usuarios que descarguen el paquete de software de código abierto también descargarán el archivo binario malicioso.
Según CheckMarx, el problema surgió porque la fuente del paquete de archivos era un bucket de S3 abandonado. A pesar de que el bucket fue finalmente destruido, las aplicaciones existentes continuaron utilizándolo para entregar datos. Cuando el actor malicioso se dio cuenta de esto, creó un nuevo bucket de S3 con el mismo nombre. Para ello, sustituyó el paquete de archivos legítimo por otro malicioso que recopilaba datos de los usuarios y los transfería a otro lugar.
A continuación, el archivo binario malicioso puede utilizarse para robar datos del usuario, como credenciales de inicio de sesión y números de tarjetas de crédito. Nachshon afirma que su equipo ha encontrado docenas de paquetes de software de código abierto vulnerables a este ataque.
Instó a los desarrolladores de software a comprobar sus dependencias y asegurarse de que no están utilizando ningún paquete de software de código abierto que sea vulnerable a este ataque. También instó a los proveedores de servicios en la nube a tomar medidas para proteger los buckets S3 abandonados.
Las fuentes de este artículo incluyen un artículo en HackRead.