Исследователи из JFrog раскрыли атака на цепочку поставок Revival Hijack, может быть использована для захвата 22 000 существующих пакетов PyPI и привести к сотням тысяч загрузок вредоносных пакетов.

Злоумышленники в ходе Revival Hijack регистрируют новые проекты PyPi, используя имена ранее удаленных пакетов для проведения атак на цепочку поставок и доставляя вредоносный код разработчикам, извлекающим обновления.

Разработчики, решившие удалить проект из PyPI, получают только предупреждение о возможных последствиях, включая сценарий атаки Revival Hijack, поскольку имя проекта после этого достаточно быстро станет доступным любому другому пользователю PyPI.

Захвативший имя пользователь сможет выпускать новые версии под прежним названием проекта, если имена файлов дистрибутива не будут совпадать с именами файлов из ранее выпущенного дистрибутива.

По данным исследователей JFrog, к настоящему времени на PyPI более 22 000 удаленных пакетов, уязвимых для атаки Revival Hijack, и некоторые из них довольно популярны.

Исследователи утверждают, что среднемесячное количество удаленных пакетов на PyPI в среднем составляет 309, что указывает на постоянный поток новых возможностей для злоумышленников.

В середине апреля JFrog обнаружили, обнаружили, что Revival Hijack уже использовался в реальных условиях, когда злоумышленник нацелился на pingdomv3 - реализацию службы мониторинга веб-сайтов Pingdom API.

Пакет был удален 30 марта, а новый разработчик перехватил имя и в тот же день опубликовал обновление, указав, что злоумышленники знали о проблеме.

В последующем обновлении пакет включал троян Python, который был замаскирован с помощью Base64 и нацелен на среды Jenkins CI/CD.

Исследователи JFrog приняли меры для снижения риска атак Revival Hijack, создав новые проекты Python с именами наиболее популярных уже удаленных пакетов.

JFrog поясняет, что PyPI ведет закрытый черный список, который реализует запрет на регистрацию определенных имен в новых проектах, однако большинство удаленных пакетов не попадают в этот список.

Это побудило исследователей предпринять меры для смягчения угрозы Revival Hijack, зарегистриров наиболее популярные из удаленных/уязвимых пакетов под учетной записью с именем security_holding и изменив номера версий на 0.0.0.1.

Примечательно, что три месяца спустя пакеты в репозитории имели около 200 000 загрузок из-за автоматизированных скриптов и пользовательских опечаток.

SecAtor

Исследователи из JFrog раскрыли атака на цепочку поставок Revival Hijack, может быть использована для захвата 22 000 существующих пакетов PyPI и привести к сотням тысяч загрузок вредоносных пакетов.

Злоумышленники в ходе Revival Hijack регистрируют новые проекты PyPi, используя имена ранее удаленных пакетов для проведения атак на цепочку поставок и доставляя вредоносный код разработчикам, извлекающим обновления.

Разработчики, решившие удалить проект из PyPI, получают только предупреждение о возможных последствиях, включая сценарий атаки Revival Hijack, поскольку имя проекта после этого достаточно быстро станет доступным любому другому пользователю PyPI.

Захвативший имя пользователь сможет выпускать новые версии под прежним названием проекта, если имена файлов дистрибутива не будут совпадать с именами файлов из ранее выпущенного дистрибутива.

По данным исследователей JFrog, к настоящему времени на PyPI более 22 000 удаленных пакетов, уязвимых для атаки Revival Hijack, и некоторые из них довольно популярны.

Исследователи утверждают, что среднемесячное количество удаленных пакетов на PyPI в среднем составляет 309, что указывает на постоянный поток новых возможностей для злоумышленников.

В середине апреля JFrog обнаружили, обнаружили, что Revival Hijack уже использовался в реальных условиях, когда злоумышленник нацелился на pingdomv3 - реализацию службы мониторинга веб-сайтов Pingdom API.

Пакет был удален 30 марта, а новый разработчик перехватил имя и в тот же день опубликовал обновление, указав, что злоумышленники знали о проблеме.

В последующем обновлении пакет включал троян Python, который был замаскирован с помощью Base64 и нацелен на среды Jenkins CI/CD.

Исследователи JFrog приняли меры для снижения риска атак Revival Hijack, создав новые проекты Python с именами наиболее популярных уже удаленных пакетов.

JFrog поясняет, что PyPI ведет закрытый черный список, который реализует запрет на регистрацию определенных имен в новых проектах, однако большинство удаленных пакетов не попадают в этот список.

Это побудило исследователей предпринять меры для смягчения угрозы Revival Hijack, зарегистриров наиболее популярные из удаленных/уязвимых пакетов под учетной записью с именем security_holding и изменив номера версий на 0.0.0.1.

Примечательно, что три месяца спустя пакеты в репозитории имели около 200 000 загрузок из-за автоматизированных скриптов и пользовательских опечаток.

JFrog

Revival Hijack - PyPI hijack technique exploited in the wild, puts 22K packages at risk

JFrog’s security research team continuously monitors open-source software registries, proactively identifying and addressing potential malware and vulnerability threats to foster a secure and reliable ecosystem for open-source software development and deployment.…

hottg.com/true_secator/6175

12K viewsSep 6, 2024 at 10:10