惡意PyPI套件使用新的挾持手法,假冒正牌套件引誘受害者上當
支付動態 · 2024-09-05

已下架的套件名稱可被用於攻擊行動!研究人員揭露新型態的攻擊手法Revival Hijack,攻擊者找到已棄用的套件名稱並加以濫用,上架惡意套件來從事攻擊行動

駭客發動惡意NPM、PyPI套件攻擊,往往會透過域名搶先註冊的手法,利用與正牌套件極為相似名稱來混淆開發人員視聽,但如今研究人員發現新的手法,並發現已被駭客廣泛利用。

資安業者JFrog揭露名為Revival Hijack攻擊手法,駭客尋找已經下架的合法PyPI套件,並重新註冊相同的名稱,上架惡意套件。這樣的做法無須依賴開發人員出錯才能趁虛而入,而且,若是原本套件的用戶有良好的習慣,會使用最新版的套件,甚至透過CI/CD環境自動套用更新,就有可能中招。

根據研究人員的調查,這種挾持攻擊手法影響12萬個PyPI套件,他們進一步排除惡意套件和垃圾套件,並針對下載超過10萬次,或是經營超過半年的套件進行統計,他們認為至少有2.2萬個PyPI套件容易成為駭客下手的目標。研究人員指出,開發人員下架套件的情況相當常見,平均每個月就有超過300個,這樣的情況,也導致可被濫用的套件名稱不斷增加。

為了防堵駭客利用這種攻擊手法,他們接管部分已下架的套件名稱,並上傳0.0.0.1版的空套件,來避免現有套件用戶的CI/CD環境自動拉取、更新。但即便他們採取這樣的措施,這些被研究人員接管的套件幾天內就出現數千次下載,在3個月後,總下載量已超過20萬次。這樣的情況,代表Revival Hijack造成的影響相當廣泛。

研究人員指出,他們注意到這類威脅,起因是已有實際攻擊行動。

今年4月,該公司的威脅掃描系統偵測到PyPI套件pingdomv3出現異常活動,他們尋線調查,發現此套件原本在2019年11月推出,到了今年3月27日開發者正式向用戶表明不再支援,應停止使用,並在30日將整個專案下架,但不久之後,另一名開發者就使用相同名稱發布新套件,並聲稱是接手進行後續維護,後來在4月12日,此開發者就上傳含有惡意酬載的新版套件,而被研究人員發現。

他們也向PyPI團隊進行通報,並揭露這類弱點可被利用的情況,PyPI團隊其實已在2022年7月討論相關議題,但截至去年中旬尚未得到具體結果。

研究人員指出,雖然PyPI團隊已採取部分手段減緩威脅,但他們強調,Revival Hijack至今仍是極為有效的攻擊手段,呼籲PyPI應採取嚴格的政策,全面禁止重複使用相同的套件名稱。

熱門文章
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
英國確認各垂直行業的賭博稅稅率
合規與政策
首頁
遊戲
合作
發現
我的