Представители компании Twilio, предлагающей облачную платформу как услугу, сообщили, что 19 июля 2020 года неизвестные злоумышленники подменили вредоносной версией TaskRouter JS SDK, размещенный в бакете Amazon Web Services S3.  Дело в том, что бакет был неверно сконфигурирован еще пять лет назад и из-за этого оказался доступен посторонним лицам.

Официальное заявление гласит, что один из бакетов S3 Twilio используется для предоставления общедоступного контента с домена twiliocdn.com. На этом домене компания размещает копии клиентских jаvascript SDK для Programmable Chat, Programmable Video, Twilio Client и Twilio TaskRouter. Но инцидент затронул лишь TaskRouter SDK версии 1.20, и в компании считают, что вредоносный код был создан с целью показа вредоносной рекламы пользователям мобильных устройств.

Вредоносная версия TaskRouter SDK уже была заменена на обычную. Всем пользователям, которые загружали файл в 19-20 июля текущего года рекомендуется срочно загрузить «чистую» версию SDK, если это еще не было сделано автоматически.

Анализ случившегося уже провели специалисты компании RiskIQ. По данным аналитиков, атака на Twilio связана с крупной Magecart-кампанией, направленной на пользователей мобильных устройств, которая наблюдалась еще в мае текущего года. Тогда на сотни уникальных доменов были введены вредоносные перенаправляющие cookie «jqueryapi1oad». В общей сложности от этих атак пострадал  671 уникальный домен.

Тот же «jqueryapi1oad» был обнаружен в измененном файле Twilio. То есть целью данной атаки, очевидно, было перенаправление пользователей на вредоносные домены, а также сбор информации об их устройствах. По сути, код злоумышленников заставлял браузеры пользователей загружать посторонние URL-адреса, связанные Magecart-атаками.