2019/05/11 07:46
mkusunok
S3バケットにあったというCard Stealer、どこから呼び出されて、どれくらいの被害があったのかが気になるところ
2019/05/11 09:38
ockeghem
興味深い。私のブログ記事も参照くださっていて、カード情報盗み出し手口タイプ4の具体的な悪用コード例となっている
2019/05/11 09:48
ledsun
なるほど。こんな方法があるのか
2019/05/11 11:32
anoncom
掲載されてる当該ドメインは生きてるようなので、hostsなどで向き先買えれば利用者として暫定的には対処できそう?
2019/05/11 11:32
do7be
きっかわじゃんw
2019/05/11 11:53
fellfield
『Anonymous PUT権限がついているAWS S3』
2019/05/11 11:58
mizoguche
“Public Bucketsを調査 攻撃者は、見つかったAWS S3に対し、バケットポリシーをチェック 攻撃者は、PUT権限がついていると分かると、正規のJavaScriptにマルウェアを混入してアップロード”
2019/05/11 12:13
ebo-c
命名がSun Stealer(from 啓示空間)っぽい
2019/05/11 12:16
sho
assets置き場としてS3を使うことが増えてるけど、パーミッションが緩いと効率的にハックされがち、と。
2019/05/11 12:31
daishi_n
jsからs3にputする手法はサーバ不要で使えるから、スケーラビリティ確保には便利なんだけどね。このあたりを読んでバケットアクセスは制限しないとね qiita.com
2019/05/11 13:01
k3akinori
難読化されてるものってヤバイの多いよね。
2019/05/11 13:04
minmax
(こういう悪意のあるコードをどうやって見つけるんだろう…?)
2019/05/11 13:27
letsspeak
S3に置かれたassetsのポリシー設定が不適切だったため攻撃者が上書き。クレカ以外でもいろいろできそう。
2019/05/11 13:53
MonMonMon
“取得した情報はBase64エンコードされ、imgタグのsrcを利用して攻撃者のサーバに送信されます。” ほほう
2019/05/11 14:23
snowlong
S3 の権限ちゃんとしないとあかんね
2019/05/11 14:44
monorod
なるほど怖いなあ
2019/05/11 15:12
hiroomi
“Anonymous PUT権限がついているAWS S3を探し、正規のJavaScript内にマルウェアを注入、PUTメソッドでアップロード”
2019/05/11 15:15
wow64
コード整形とかトランスパイルのときに仕込むのかと思った
2019/05/11 15:35
uunfo
文章下手すぎ
2019/05/11 17:30
kosh04
「綺麗にされたら」てなんじゃらホイと思ったら難読化の解除のことか
2019/05/11 17:37
otoan52
タイトルの意味がなかなかわからなかった。
2019/05/11 17:42
maruhoi1
「難読化されたJavaScriptを解析したら、カード情報を盗もうとするマルウェアだった件」か
2019/05/11 19:33
t_yamo
「が」→「を」、「されたら」→「したら」
2019/05/11 19:58
ken1flan
…うへえ。
2019/05/11 22:13
Knoa
“アンチデバッグとして、Windowサイズによる開発者ツールが起動しているかの確認もありましたが、ここでは割愛”←いやそこ興味深いとこじゃろ
2019/05/11 22:16
tana_bata
アンチデバッグの仕組みへーって思った
2019/05/11 22:17
mykh4567
anonymous PUT権限のあるpublic bucketsに置かれているjsファイルを読み込むケースってどんな時だろう。自社リソースならそんなことはしないだろうし、jsライブラリの開発者がうっかりやらかした場合とか?
2019/05/11 22:26
sai0ias
難読化されて本番に置かれると割と気がつかないかもね…こっわ。
2019/05/11 23:01
otchy210
アンチデバッグなるほどなぁ。普段何気なく見たネットワークタブで何じゃこれ?って調べることあるもんな。ほんとに気にするなら、DevTools はフローティングモードで使う癖を付けるべきって事か。
2019/05/11 23:52
bottomzlife
兵庫県警がアップをはじめました! 「おまえの母親がCardStealerの情報解説されたらどう思う?」「なんとも思いません」「感覚おかしいよ」
2019/05/12 01:14
suekunhello
良い勉強になりました!
2019/05/12 01:55
kibitaki
よっしゃ!某所でまだ使われてる4桁ずつのテキストボックスならこいつの影響受けないからワイはセーフやな!(違)(あちらさん元気かな?いい加減にリニューアル費用積んで他所に頼んでください)
2019/05/12 03:35
madooka
タイトルまで難読化することはない
2019/05/12 15:02
habarhaba
タイトルの日本語がおかしい
2019/05/13 10:06
deep_one
「Anonymous PUT権限がついているAWS S3」
2019/05/13 15:24
shinagaki
アンチデバッグかしらんが、プロダクションのJavaScriptコードに "debugger" の一文があるとウザいw
2019/05/13 17:15
zu2
“攻撃者は、AWS S3のPublic Bucketsを調査 攻撃者は、見つかったAWS S3に対し、バケットポリシーをチェック 攻撃者は、PUT権限がついていると分かると、正規のJavaScriptにマルウェアを混入してアップロード”
2019/05/13 18:20
cubed-l
興味深い/アンチデバッグはどんな手法だったのだろう/ラノベ風文章タイトルをつけるなら主語は主人公またはヒロインにしないと。JavaScriptは主人公でもヒロインでもないでしょ(クソリプ)
2019/05/14 07:42
naglfar
パーミッション大事すぎる。