冒名顶替已下架 PyPI 套件,攻击手法 Revival Hijack 揭露

admin 2024年9月9日11:32:24评论36 views字数 594阅读1分58秒阅读模式

冒名顶替已下架 PyPI 套件,攻击手法 Revival Hijack 揭露

关键词

漏洞

安全公司 JFrog 发布报告,公布一种名为 "Revival Hijack" 的攻击手法,黑客寻找已下架的合法 PyPI 包,重新注册相同名称并上传带有恶意木马的新包,由于用户通常不会注意到相关变更,因此极容易遭到攻击。

研究人员对下载超过 10 万次或运营超过半年的包进行了统计,发现这种冒名顶替式的攻击手法共计影响了 12 万个 PyPI 包。之所以这种冒名顶替式的攻击手法 " 如此常见 ",是因为 " 许多开发者经常下架包 ",据称 " 每月有超过 300 个包被下架 ",从而给予黑客可乘之机。

冒名顶替已下架 PyPI 套件,攻击手法 Revival Hijack 揭露

为了防止黑客利用这种攻击手法,研究人员试图接管了一些已下架的包名,并上传版本号为 0.0.0.1 的空包以避免现有用户的 CI / CD 环境自动拉取和更新。然而即使采取了这些措施,根据研究人员统计,这些被接管的空包在几天内下载量仍达到数千次、三个月后总下载量超过 20 万次,这表明 Revival Hijack 的影响极为广泛。

目前该安全公司已将这一问题通报给 PyPI 团队,不过 PyPI 团队回应称他们早在 2022 年 7 月就已初步讨论过相关议题,但目前还需要进一步讨论解决办法。

研究人员强调, Revival Hijack 至今仍是极为有效的攻击手段,他们呼吁 PyPI 应制定严格政策,全面禁止重复使用相同的包名称,避免遭到黑客鸠占鹊巢。

END

原文始发于微信公众号(安全圈):【安全圈】冒名顶替已下架 PyPI 套件,攻击手法 Revival Hijack 揭露

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月9日11:32:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   冒名顶替已下架 PyPI 套件,攻击手法 Revival Hijack 揭露http://cn-sec.com/archives/3144735.html

发表评论

匿名网友 填写信息