文章总结： AWSCodeBuild因webhook正则未锚定存在配置错误，攻击者利用GitHubID重叠劫持了关键代码库并窃取令牌，威胁控制台安全。AWS已修复漏洞，确认无数据泄露。建议锚定正则、使用最小权限令牌、启用PR审批及禁用不受信任的自动构建。 综合评分： 88 文章分类： 供应链安全,漏洞分析,云安全,漏洞预警

新的AWS控制台供应链攻击允许攻击者劫持AWS GitHub代码库

TtTeam

2026年2月5日 14:54 海南

AWS CodeBuild 中的一个严重配置错误使得未经身份验证的攻击者能够控制关键的 AWS 拥有的 GitHub 存储库，其中包括广泛使用的 AWS JavaScript SDK，该 SDK 为 AWS 控制台本身提供支持。

这种供应链漏洞威胁到整个平台的安全，可能会将恶意代码注入到无数 AWS 环境中的应用程序和控制台中。

AWS 控制台供应链攻击

安全公司 Wiz Research 揭露，CodeBreach 漏洞源于 CodeBuild webhook 过滤器中 ACTOR_ID 参数未锚定的正则表达式模式，该参数本应将构建限制为受信任的 GitHub 用户 ID。

如果没有 ^ 和 $ 锚点，过滤器将匹配任何包含已批准子字符串的用户 ID，从而允许通过“eclipse”事件绕过，其中新的、更长的 GitHub ID 包含旧的维护者 ID。

GitHub 的顺序 ID 分配每天产生约 20 万个 ID，使得四个 AWS 存储库中的目标 6-7 位 ID 经常出现重叠：aws/aws-sdk-js-v3、aws/aws-lc、corretto/amazon-corretto-crypto-provider 和 awslabs/open-data-registry。

攻击者利用这一点，通过清单流程大量创建 GitHub 应用程序来争夺 Eclipse ID，然后提交拉取请求来触发特权构建。

在针对 aws/aws-sdk-js-v3 的概念验证（PR #7280）中，隐藏的有效载荷代码转储内存，以从 aws-sdk-js-automation 帐户中提取 GitHub 个人访问令牌 (PAT)，尽管此前已针对 2025 年 Amazon Q 事件采取了缓解措施。

PAT 授予了 repo 和 admin:repo_hook 权限，从而可以邀请协作者进行管理员权限提升和直接推送主分支。

Wiz向 CybersecurityNews 表示，JavaScript SDK 遭到破坏可能会感染其每周发布的 NPM 版本，影响 66% 的扫描云环境和 AWS 控制台，后者将最新的 SDK 版本与用户凭证捆绑在一起。

被盗的PAT还控制了相关的私有代码库，加剧了供应链风险，类似于Nx S1ngularity或亚马逊Q攻击（AWS-2025-015）。Wiz在概念验证后停止了事态升级，并于2025年8月25日负责任地披露了相关信息。

AWS 在 48 小时内修复了正则表达式漏洞，撤销了令牌，加强了内存保护，审核了公共版本，并通过日志确认没有被利用。

没有客户数据受到影响。诸如 Pull Request 评论审批和 CodeBuild 托管运行器等新功能现在会阻止不受信任的构建。

用户应锚定 webhook 正则表达式，使用范围最小的细粒度 PAT，启用 PR 审批门，并通过 Wiz 查询扫描易受攻击的设置。

AWS 敦促禁用来自不受信任来源的自动 PR 构建。攻击流程图突出了恶意 PR 导致控制台风险的路径。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《新的AWS控制台供应链攻击允许攻击者劫持AWS GitHub代码库》