Attaque massive de la chaîne d'approvisionnement : logiciel malveillant distribué via des buckets S3 Amazon abandonnés
Des chercheurs ont enregistré environ 150 buckets S3 Amazon abandonnés pour environ 400 $, découvrant qu'ils contenaient des bibliothèques logicielles encore utilisées. Ces buckets ont reçu huit millions de demandes en deux mois, soulignant une vulnérabilité massive. Un attaquant pourrait facilement injecter des logiciels malveillants dans ces bibliothèques, les propageant largement via des mises à jour logicielles – une attaque de type SolarWinds à une échelle beaucoup plus grande. L'abandon de ces buckets empêche les développeurs de corriger automatiquement les vulnérabilités, donnant aux attaquants le contrôle des mises à jour et rendant difficile l'identification du logiciel affecté par le fournisseur. Cela souligne les failles critiques de la sécurité de la chaîne d'approvisionnement logicielle ; la réparer sera difficile et coûteux.