在线编程 IDE 居然可被黑客用于发起远程网络攻击 _黑客

文章插图

安全研究人员警告说，黑客可以滥用在线编程学习平台来远程发起网络攻击、窃取数据并扫描易受攻击的设备，只需使用网络浏览器。
至少有一个这样的平台，称为 DataCamp，允许威胁参与者编译恶意工具、托管或分发恶意软件，并连接到外部服务。
DataCamp 为近 1000 万想要使用各种编程语言和技术（R、Python、Shell、Excel、Git、SQL）学习数据科学的用户提供集成开发环境 (IDE) 。
作为平台的一部分，DataCamp 用户可以访问他们自己的个人工作区，其中包括一个用于练习和执行自定义代码、上传文件和连接到数据库的 IDE 。
IDE 还允许用户导入 Python 库、下载和编译存储库，然后执行编译的程序。换句话说，任何一个勤奋的威胁参与者都需要直接从 DataCamp 平台内发起远程攻击。

文章插图

DataCamp Python 编译器中的端口扫描器
DataCamp 被滥用在对威胁参与者可能使用 DataCamp 的资源隐藏攻击来源的事件做出响应后，网络安全公司 Profero 的研究人员决定调查这种情况。
他们发现 DataCamp 的高级在线 Python IDE 为用户提供了安装第三方模块的能力，这些模块允许连接到 Amazon S3 存储桶。
Profero 的首席执行官 Omri Segev Moyal 在与 BleepingComputer 分享的一份报告中表示，他们在 DataCamp 平台上尝试了这种场景，并且能够访问 S3 存储桶并将所有文件泄露到平台网站上的工作空间环境中。

文章插图

通过 DataCamp 从 S3 存储桶导入文件
研究人员表示，来自 DataCamp 的活动很可能会在未被发现的情况下通过，“即使是那些进一步检查连接的人也会陷入死胡同，因为没有已知的明确来源列出 Datacamp 的 IP 范围。”
对这种攻击场景的调查更进一步，研究人员试图导入或安装通常用于网络攻击的工具，例如 Nmap 网络映射工具。
无法直接安装 Nmap，但 DataCamp 允许编译它并从编译目录执行二进制文件。

文章插图

Nmap 在 DataCamp 上运行
Profero 的事件响应团队还测试了他们是否可以使用终端上传文件并获取共享文件的链接。他们能够上传 EICAR - 用于测试防病毒解决方案检测的标准文件，并获得分发它的链接。

文章插图

EICAR 文件上传到 DataCamp
Profero 今天的报告指出，下载链接可用于通过简单的 Web 请求将其他恶意软件下载到受感染的系统。
此外，这些下载链接可能会在其他类型的攻击中被滥用，例如托管恶意软件以进行网络钓鱼攻击，或通过恶意软件下载其他有效负载。
固有风险BleepingComputer 联系 DataCamp 就 Profero 的研究发表评论，一位发言人表示，“存在某些人可能试图滥用我们的系统的内在风险”，因为该平台提供了“实时计算环境” 。
DataCamp 在其服务条款中声明禁止滥用平台，但威胁行为者不是遵守规则的用户。
DataCamp 表示，他们“已采取合理措施”来防止滥用行为影响平台上的其他用户，并且他们正在监控他们的系统是否存在不当行为。
“此外，为了防止个人渎职，我们实施了负责任的披露政策，并持续监控我们的系统以降低风险” - DataCamp
可能在其他平台上滥用【在线编程 IDE 居然可被黑客用于发起远程网络攻击】尽管 Profero 没有将他们的研究扩展到其他学习平台，但研究人员认为，DataCamp 并不是黑客可以滥用的唯一平台。