Foi detectado um novo tipo de ataque à cadeia de suprimentos de software voltado para projetos de código aberto, os agentes de ameaças poderiam assumir o controle de buckets expirados do Amazon S3 para servir binários desonestos sem alterar os próprios módulos.

O ataque foi observado pela primeira vez no caso de um pacote npm chamado bignum, que, até a versão 0.13.0, dependia de um bucket do Amazon S3 para baixar versões binárias pré-construídas de um addon chamado node-pre-gyp durante a instalação.

“Esses binários foram publicados em um bucket do S3 agora expirado, que desde então foi reivindicado por um terceiro mal-intencionado que agora está servindo binários contendo malware que exfiltra dados do computador do usuário”, de acordo com um comunicado do GitHub publicado em 24 de maio de 2023.

Um ator de ameaças desconhecido teria aproveitado a oportunidade de que o bucket do S3 já esteve ativo para entregar malware quando usuários desavisados baixaram o pacote em questão.