4166am金沙近日，據(jù)BleepingComputer報道，安全研究人員警告說，黑客只需使用瀏覽器就可以濫用流行的在線編程學習平臺DataCamp來遠程發(fā)起網(wǎng)絡攻擊、竊取數(shù)據(jù)和掃描易受攻擊的設備，并隱藏攻擊來源。

　　網(wǎng)絡安全公司Profero發(fā)布的調查報告指出，黑客可以利用DataCamp編譯惡意工具、托管或分發(fā)惡意軟件，并連接到外部服務。

　　DataCamp為近1000萬想要使用各種編程語言和技術（R、Python、Shell、Excel、Git、SQL）學習數(shù)據(jù)科學的用戶提供云端的集成開發(fā)環(huán)境(云IDE)。

　　作為平臺的一部分，DataCamp用戶可以訪問他們自己的個人工作區(qū)，其中包括一個用于練習和執(zhí)行自定義代碼、上傳文件和連接到數(shù)據(jù)庫的IDE。

　　該IDE環(huán)境還允許用戶導入Python庫、下載和編譯存儲庫，然后執(zhí)行編譯的程序。換句話說，任何一個勤奮的攻擊者都需要直接從DataCamp平臺內發(fā)起遠程攻擊。

　　Profero的研究人員在一次事件響應中發(fā)現(xiàn)攻擊者可能使用了DataCamp的資源來隱藏攻擊來源，于是決定對DataCamp展開調查。

　　他們發(fā)現(xiàn)DataCamp的高級在線Python IDE為用戶提供了安裝第三方模塊的能力，這些模塊允許連接到Amazon S3存儲桶。

　　Profero首席執(zhí)行官Omri Segev Moyal在一份報告中表示，他們在DataCamp平臺上嘗試了這種場景，能夠訪問S3存儲桶并將所有文件泄露到平臺網(wǎng)站上的工作空間環(huán)境中。

　　研究人員表示，來自DataCamp的活動很可能會在未被發(fā)現(xiàn)的情況下通過，“即使是那些進一步檢查連接的人也會陷入死胡同，因為沒有已知的明確來源列出Datacamp的IP范圍?！?/p>

　　對這種攻擊場景的進一步調查中，研究人員試圖導入或安裝通常用于網(wǎng)絡攻擊的工具，例如Nmap網(wǎng)絡映射工具。

　　雖然不支持直接安裝Nmap，但DataCamp允許編譯后從編譯目錄執(zhí)行二進制文件。

　　Profero的事件響應團隊還測試了他們是否可以使用終端上傳文件并獲取共享文件的鏈接。結果，他們成功上傳了EICAR——用于測試防病毒解決方案檢測的標準文件，并分發(fā)了鏈接。

　　Profero今天的報告指出，下載鏈接可用于通過簡單的Web請求將其他惡意軟件下載到受感染的系統(tǒng)。

　　此外，這些下載鏈接可能會在其他類型的攻擊中被濫用，例如托管惡意軟件以進行網(wǎng)絡釣魚攻擊，或被惡意軟件下載額外的有效負載。

　　盡管Profero沒有將他們的研究對象擴展到其他學習平臺，但研究人員認為，DataCamp并不是黑客可以濫用的唯一平臺。

　　另一個提供終端的平臺是Binder，這是一個在由志愿者管理的開放基礎設施上運行的項目。該服務使托管在其他基礎設施（GitHub、GitLab）上的存儲庫可供用戶通過瀏覽器使用。

　　該項目的一位代表透露，他們部署的BinderHub實例“實施了多項保護措施，以限制其在攻擊鏈中的使用方式”。

　　Binder代表表示，如果Profero的報告顯示有必要采取進一步措施，他們愿意在BinderHub源代碼中添加更多保護措施。

　　Profero鼓勵在線代碼學習平臺的提供商保留一份傳出客戶流量網(wǎng)關列表，并使其可被公開訪問，以便防御者可以找到攻擊的來源。Profero還建議平臺為用戶提供一種安全且簡單的方式來提交濫用報告。