利用废弃的亚马逊S3存储桶投放恶意软件:一场规模巨大的供应链攻击
2025-02-12
研究人员以400美元的价格注册了约150个被遗弃的亚马逊S3存储桶,这些存储桶包含仍在使用的软件库。攻击者可以修改这些库中的代码,植入恶意软件,然后在软件更新过程中将其传播到互联网上的各种软件构建中。在两个月内,这些存储桶收到了800万个请求,这表明这种攻击的潜在影响巨大,类似于SolarWinds攻击,但规模更大。由于这些存储桶已被遗弃,开发者无法自动修补漏洞,攻击者可以控制更新机制,并阻碍厂商识别和修复受影响的软件。这凸显了软件供应链安全的严重问题,修复它将既困难又昂贵。