已下架的套件名稱可被用於攻擊行動!研究人員揭露新型態的攻擊手法Revival Hijack,攻擊者找到已棄用的套件名稱並加以濫用,上架惡意套件來從事攻擊行動
駭客發動惡意NPM、PyPI套件攻擊,往往會透過域名搶先註冊的手法,利用與正牌套件極為相似名稱來混淆開發人員視聽,但如今研究人員發現新的手法,並發現已被駭客廣泛利用。
資安業者JFrog揭露名為Revival Hijack攻擊手法,駭客尋找已經下架的合法PyPI套件,並重新註冊相同的名稱,上架惡意套件。這樣的做法無須依賴開發人員出錯才能趁虛而入,而且,若是原本套件的用戶有良好的習慣,會使用最新版的套件,甚至透過CI/CD環境自動套用更新,就有可能中招。
根據研究人員的調查,這種挾持攻擊手法影響12萬個PyPI套件,他們進一步排除惡意套件和垃圾套件,並針對下載超過10萬次,或是經營超過半年的套件進行統計,他們認為至少有2.2萬個PyPI套件容易成為駭客下手的目標。研究人員指出,開發人員下架套件的情況相當常見,平均每個月就有超過300個,這樣的情況,也導致可被濫用的套件名稱不斷增加。
為了防堵駭客利用這種攻擊手法,他們接管部分已下架的套件名稱,並上傳0.0.0.1版的空套件,來避免現有套件用戶的CI/CD環境自動拉取、更新。但即便他們採取這樣的措施,這些被研究人員接管的套件幾天內就出現數千次下載,在3個月後,總下載量已超過20萬次。這樣的情況,代表Revival Hijack造成的影響相當廣泛。
研究人員指出,他們注意到這類威脅,起因是已有實際攻擊行動。
今年4月,該公司的威脅掃描系統偵測到PyPI套件pingdomv3出現異常活動,他們尋線調查,發現此套件原本在2019年11月推出,到了今年3月27日開發者正式向用戶表明不再支援,應停止使用,並在30日將整個專案下架,但不久之後,另一名開發者就使用相同名稱發布新套件,並聲稱是接手進行後續維護,後來在4月12日,此開發者就上傳含有惡意酬載的新版套件,而被研究人員發現。
他們也向PyPI團隊進行通報,並揭露這類弱點可被利用的情況,PyPI團隊其實已在2022年7月討論相關議題,但截至去年中旬尚未得到具體結果。
研究人員指出,雖然PyPI團隊已採取部分手段減緩威脅,但他們強調,Revival Hijack至今仍是極為有效的攻擊手段,呼籲PyPI應採取嚴格的政策,全面禁止重複使用相同的套件名稱。
