招聘欺诈如何将 cloud IAM 变成 20亿美元的攻击面

Source: VentureBeat

概述

一名开发者收到来自招聘人员的 LinkedIn 消息。该职位看起来合法，且编码评估要求安装一个软件包。该软件包会将开发者机器上的所有云凭证——GitHub 个人访问令牌、AWS API 密钥、Azure 服务主体等——窃取并发送到攻击者的服务器。

随后，攻击者利用这些凭证获取云环境的未授权访问，可能导致数百万美元的资产和敏感数据被泄露。

攻击向量

1. 社会工程 – 招聘人员的消息看起来真实，常常提及开发者的近期工作或兴趣。
2. 恶意软件包 – 该软件包发布在公共注册表（如 npm、PyPI），外观合法，有时会模仿流行库。
3. 凭证收集 – 安装后，软件包会扫描系统中的存储凭证、环境变量和配置文件。
4. 数据外泄 – 收集到的凭证被发送到攻击者控制的指挥控制服务器。

影响

• 规模 – 文章估计此攻击面可能影响全球多达 20 亿 条云 IAM 凭证。
• 财务风险 – 被盗凭证可用于启动昂贵的云资源、窃取数据或部署勒索软件。
• 声誉损害 – 若服务被攻破，组织可能失去用户信任。

缓解策略

• 核实招聘人员的沟通 – 使用官方公司渠道确认任何外部联系。
• 审查第三方软件包 – 在安装前检查软件包的来源、下载统计和近期活动。
• 使用凭证扫描工具 – 部署能够检测代码仓库和本地环境中硬编码密钥的工具。
• 启用 MFA 与最小权限策略 – 减少被盗凭证的影响。
• 监控异常云活动 – 为异常 API 调用或资源创建设置警报。

对开发者的建议

• 绝不在未经验证的请求下安装软件包，必须进行彻底验证。
• 优先使用官方软件包注册表，并核实发布者身份。
• 将凭证从源代码中剔除；使用机密管理解决方案。
• 定期轮换凭证，并撤销可能已泄露的凭证。

通过保持警惕并采用严格的凭证卫生措施，开发者和组织可以显著降低招聘诈骗导致的云凭证盗窃风险。