bignum库遭受S3 Bucket劫持攻击

node-pre-gyp是一个用于简化 Node.js 本机模块构建和发布的工具，它提供了统一的构建和安装流程，并自动处理不同平台和架构的差异。这样，开发人员可以更方便地创建和分发本机模块，同时提供更好的跨平台兼容性和易用性。

S3  Bucket是 AWS (Amazon Web Services ，亚马逊云) 提供的一种存储资源，允许用户通过 Internet 存储和检索海量数据。它作为可扩展且安全的对象存储服务，可存储文件、文档、图像、视频和任何其他类型的数字内容。S3 Bucket可以使用唯一的 URL 进行访问，使其广泛用于各种用途，例如网站托管、数据备份和归档、内容分发和应用程序数据存储。

近期Node.js使用的开源包bignum由于Bucket被劫持导致用户在安装该包时会下载恶意软件。

对下载的预构建文件进行分析。发现存在一些获取Linux系统相关信息的函数。这与bignum本身提供的功能不符，是恶意软件的特征。

此外，Bucket可被劫持不仅是bignum包存在的问题，整个开源生态系统中存在着许多会受到这种攻击的软件包和存储库。它们所使用的废弃的S3 Bucket，如果被攻击者利用也可能造成较大危害。

因此，废弃的资产不仅仅是一个被遗忘工具，其若被攻击者接管，也会成为信息窃取和入侵的有力武器。这提醒了组件提供方，除了最新版本的组件安全外，也应注意以往旧版本的组件所使用资产可能存在的风险，因为系统版本较低或是依赖版本较低会使用户安装旧版本的组件，这样如若旧版本组件所使用资产被攻击者劫持，那么就会导致攻击行为的产生。同时，用户也应注意自己所使用的第三方组件的安全性，以确保它们没有潜在的漏洞或恶意代码。