Представители компании Twilio, предлагающей облачную платформу как услугу, сообщили, что 19 июля 2020 года неизвестные злоумышленники подменили вредоносной версией TaskRouter JS SDK, размещенный в бакете Amazon Web Services S3. Дело в том, что бакет был неверно сконфигурирован еще пять лет назад и из-за этого оказался доступен посторонним лицам.
Официальное заявление гласит, что один из бакетов S3 Twilio используется для предоставления общедоступного контента с домена twiliocdn.com. На этом домене компания размещает копии клиентских JavaScript SDK для Programmable Chat, Programmable Video, Twilio Client и Twilio TaskRouter. Но инцидент затронул лишь TaskRouter SDK версии 1.20, и в компании считают, что вредоносный код был создан с целью показа вредоносной рекламы пользователям мобильных устройств.
«В настоящее время у нас нет доказательств того, что хакеры имели доступ к каким-либо данным о клиентах. Более того, злоумышленники не имели доступа к внутренним системам, коду или данным компании Twilio», — заявляют представители компании.
Вредоносная версия TaskRouter SDK уже была заменена на обычную. Всем пользователям, которые загружали файл в 19-20 июля текущего года рекомендуется срочно загрузить «чистую» версию SDK, если это еще не было сделано автоматически.
Анализ случившегося уже провели специалисты компании RiskIQ. По данным аналитиков, атака на Twilio связана с крупной Magecart-кампанией, направленной на пользователей мобильных устройств, которая наблюдалась еще в мае текущего года. Тогда на сотни уникальных доменов были введены вредоносные перенаправляющие cookie «jqueryapi1oad». В общей сложности от этих атак пострадал 671 уникальный домен.
Тот же «jqueryapi1oad» был обнаружен в измененном файле Twilio. То есть целью данной атаки, очевидно, было перенаправление пользователей на вредоносные домены, а также сбор информации об их устройствах. По сути, код злоумышленников заставлял браузеры пользователей загружать посторонние URL-адреса, связанные Magecart-атаками.