黑客可以使用在线编程IDE对浏览器发起远程网络攻击。至少有一个名为DataCamp的此类平台允许威胁行为者编译恶意工具、托管或分发恶意软件以及连接到外部服务。DataCamp为近1000万希望使用各种编程语言和技术(R、Python、Shell、Excel、Git、SQL)学习数据科学的用户提供集成开发环境(IDE)。作为平台的一部分,DataCamp用户可以访问他们自己的个人工作区,其中包括用于练习和执行自定义代码、上传文件以及连接到数据库的IDE。IDE还允许用户导入Python库、下载和编译存储库,然后执行编译后的程序。换句话说,任何勤奋的威胁参与者都需要直接从DataCamp平台内发起远程攻击。Python编译器中的端口扫描器DataCamp被滥用在应对威胁行为者可能使用DataCamp的资源隐藏其攻击来源的事件后,网络安全公司Profero的研究人员决定调查这一情况。他们发现DataCamp的高级在线PythonIDE为用户提供了安装允许连接到AmazonS3存储桶的第三方模块的能力。Profero首席执行官OmriSegevMoyal在与BleepingComputer分享的一份报告中表示,他们在DataCamp平台上尝试了这种情况,并且能够访问S3存储桶并将所有文件泄漏到平台网站上的工作区环境中。通过DataCamp从S3存储桶导入文件虽然来自DataCamp的活动很可能未被检测到,但研究人员说,“即使那些进一步检查连接的人也会陷入死胡同,因为在Datacamp的IP范围之外没有已知的明确源列。”为了进一步调查这种攻击场景,研究人员尝试导入或安装网络攻击中常用的工具,例如Nmap网络映射工具。无法直接安装Nmap,但DataCamp允许编译它并从编译目录执行二进制文件。Nmap在DataCamp上运行Profero的事件响应团队还测试了他们是否可以使用终端上传文件并获取共享文件的链接。他们能够上传EICAR-用于测试防病毒解决方案检测的标准文件,并获得分发它的链接。上传到DataCampProfero的EICAR文件今天的报告指出,下载链接可用于通过简单的Web请求将其他恶意软件下载到受感染的系统。此外,这些下载链接可能被滥用于其他类型的攻击,例如托管用于网络钓鱼攻击的恶意软件,或通过恶意软件下载额外的有效负载。固有风险BleepingComputer联系DataCamp就Profero的研究发表评论,一位发言人表示“存在有人可能试图滥用我们系统的固有风险”,因为该平台提供了“实时计算环境”。DataCamp在其服务条款中声明禁止滥用平台,但威胁行为者不是遵守规则的用户。DataCamp表示,他们已经“采取合理措施”来防止滥用行为影响平台上的其他用户,并且他们正在监控他们的系统是否存在不当行为。“此外,为了防止个人不当行为,我们实施了负责任的披露政策,并持续监控我们的系统以降低风险”——DataCamp可能在其他平台上被滥用据研究人员称,平台黑客可以滥用。另一个提供端点的平台是Binder,这是一个在志愿者管理的开放基础设施上运行的项目。该服务使托管在其他基础设施(GitHub、GitLab)上的存储库可供用户通过浏览器使用。该项目的一位代表告诉BleepingComputer,他们部署的BinderHub实例“实施了多项保护措施,以限制它们在攻击链中的使用方式。”这些限制适用于可以使用的资源、带宽和阻止潜在的恶意应用程序。Binder代表表示,如果Profero的报告表明有必要采取进一步措施,他们愿意为BinderHub源代码增加更多保护。Profero鼓励在线代码学习平台的提供商保留传出客户流量的网关列表,并使其可公开访问,以便防御者可以找到攻击的来源(如果有)。该公司的提议还包括为用户提供一种安全、简便的方式来提交滥用报告。
