یکی از پلتفرم‌های معروف به DataCamp به عوامل تهدید اجازه می‌دهد تا ابزارهای مخرب را جمع‌آوری کرده و بدافزار را میزبانی یا توزیع کنند و در نهایت به سرویس‌های خارجی متصل شوند.

DataCamp محیط‌های توسعه یکپارچه (IDEs) را برای نزدیک به ۱۰ میلیون کاربر فراهم می‌کند که می‌خواهند علم داده را با استفاده از زبان‌ها و فناوری‌های برنامه نویسی مختلف (R، Python، Shell، Excel، Git، SQL) یاد بگیرند.

به عنوان بخشی از پلتفرم، کاربران DataCamp به فضای کاری شخصی خود دسترسی پیدا می‌کنند که شامل یک IDE برای تمرین و اجرای کد سفارشی، آپلود فایل‌ها و اتصال به پایگاه‌های داده است.

IDE همچنین به کاربران اجازه می‌دهد کتابخانه‌های پایتون را وارد، مخازن را دانلود و کامپایل و سپس برنامه‌های کامپایل شده را اجرا کنند، به عبارت دیگر هر چیزی که یک عامل تهدیدکننده سخت کوش برای راه اندازی یک حمله از راه دور به طور مستقیم از داخل پلت فرم DataCamp نیاز دارد.

پس از پاسخ به حادثه‌ای که در آن یک عامل تهدید ممکن است از منابع DataCamp برای پنهان کردن منشا حمله استفاده کرده باشد، محققان شرکت امنیت سایبری Profero تصمیم گرفتند این سناریو را بررسی کنند، آن‌ها دریافتند که IDE آنلاین پیشرفته پایتون DataCamp به کاربران امکان نصب ماژول‌های شخص ثالث را ارائه می‌دهد که امکان اتصال به سطل ذخیره سازی Amazon S۳ را فراهم می‌کند.

مدیرعامل Profero در گزارشی که با BleepingComputer به اشتراک گذاشته شده است، می‌گوید که آن‌ها این سناریو را در پلتفرم DataCamp امتحان کردند و توانستند به یک سطل S۳ دسترسی پیدا کنند و همه فایل‌ها را به محیط فضای کاری در وب سایت این پلتفرم استخراج کنند.

این محقق می‌گوید که فعالیت‌هایی که از DataCamp می‌آیند احتمالاً شناسایی نشده است و حتی کسانی که اتصال را بیشتر بررسی می‌کنند به بن‌بست می‌رسند، زیرا هیچ منبع قطعی شناخته‌شده‌ای وجود ندارد که محدوده IP Datacamp را فهرست کند.

تحقیقات در مورد این سناریوی حمله فراتر رفت و محققان سعی کردند ابزار‌هایی را که معمولاً در یک حمله سایبری استفاده می‌شوند، مانند ابزار نقشه‌برداری شبکه Nmap، وارد یا نصب کنند البته امکان نصب مستقیم Nmap وجود نداشت اما DataCamp اجازه کامپایل آن و اجرای باینری را از دایرکتوری کامپایل می‌داد.

گزارش امروز Profero اشاره می‌کند که لینک دانلود می‌تواند برای دانلود بدافزار اضافی به یک سیستم آلوده با استفاده از یک درخواست وب ساده استفاده شود، علاوه بر این این لینک‌های دانلود می‌توانند در انواع دیگر حملات مانند میزبانی بدافزار برای حملات فیشینگ یا توسط بدافزار برای دانلود بار‌های اضافی مورد سوء استفاده قرار گیرند.

منبع: bleepingcomputer