详细内容或原文请订阅后点击阅览
复兴劫持:删除的 PyPI 软件包 - 感染了数十万用户
一种新的攻击方法将良性数据包转变为恶意软件。
来源:安全实验室新闻频道新的攻击方法将安全软件包变成有害软件。
JFROG团队发现了一种针对PYPI软件包的软件供应链的攻击方法。该方法称为“复兴劫持”,基于重新注册远程软件包的可能性。攻击在于这样一个事实,即从平台上删除软件包后,其名称将被其他用户访问,这使攻击者可以捕获流行的软件包并传播恶意软件。
Jfrog div> 发现 PYPI研究表明,这样可以捕获大约22,000个现有软件包,这可能会导致数十万个有害版本下载。但是,在网络犯罪分子能够大规模利用脆弱性之前,JFROG设法防止了重大损害。
在PYPI的情况下,该平台最脆弱的地方之一是删除软件包的政策。一旦删除了该项目,其名称就可以立即进行重新注册。同时,用户没有收到有关删除包裹的警告。这种机制使复兴劫持方法特别危险,因为用户可以更新(曾经安全)包裹,而不是怀疑它们已经被攻击者捕获。
删除包的对话框
这些示例之一是pingdomv3软件包,该软件包被截获并用于传播有害代码。捕获软件包后,黑客介绍了恶意代码,该代码在安装或更新软件包时被执行。但是,该代码很快被检测到并删除。
在实验过程中,JFrog团队通过创建测试软件包并在删除后捕获它们来测试了此方法。结果表明,PYPI系统无法识别包装作者的变化,这使攻击者可以轻松地用自己的远程版本替换远程版本,而不会在更新时引起任何警告。
攻击链复兴劫持 div>