“Revival Hijack”是一种针对Python包索引(PyPI)的新型供应链攻击手法,其具体过程和影响分析如下:
一、攻击手法
目标选择:黑客会寻找那些已被下架的合法PyPI包作为攻击目标。由于PyPI允许在包被删除后,其名称可以被其他用户重新注册,这为黑客提供了可乘之机。
重新注册与上传:黑客会利用已下架的包名重新注册,并上传带有恶意木马的新包版本。这些新包在名称上与原始包相同,但内部代码已被篡改,包含恶意软件或木马。
用户无感下载:由于用户通常不会注意到包名称背后的变更,他们在安装或更新这些包时,很可能会无意识地下载并安装这些带有恶意木马的新包,从而遭受攻击。
广告
《生成式 AI 商业落地白皮书》-给CXO的AI转型战术指南,立即免费获取
火山引擎
查看详情
二、影响范围
受影响包数量:研究人员对下载超过10万次或运营超过半年的包进行了统计,发现这种冒名顶替式的攻击手法共计影响了12万个PyPI包。这表明该攻击手法的普及程度和潜在危害之大。
用户风险:由于PyPI是Python开发者广泛使用的包索引库,因此这种攻击手法可能威胁到数百万Python用户。一旦用户下载了带有恶意木马的包,他们的系统、数据和应用都可能面临被攻击的风险。
三、原因分析
开发者行为:“许多开发者经常下架包”是这种攻击手法得以流行的重要原因之一。据称每月有超过300个包被下架,这为黑客提供了大量潜在的攻击目标。
PyPI政策漏洞:PyPI允许包名称在包被删除后被重新注册的政策漏洞,为黑客提供了实施攻击的技术手段。黑客可以利用这一漏洞,冒充原始开发者上传恶意包版本。
四、防御措施
加强用户教育:提高用户对供应链攻击的认识和警惕性,教育用户在安装或更新包时仔细核对包名称、作者和版本信息。
完善PyPI政策:建议PyPI团队制定更严格的政策,限制或禁止包名称的重复使用,以减少黑客利用政策漏洞实施攻击的机会。
强化安全审核:加强PyPI对上传包的安全审核力度,利用自动化工具和人工审核相结合的方式,及时发现并阻止恶意包的上传。
定期更新与检查:鼓励开发者定期检查自己发布的包是否被恶意篡改或冒名顶替,并及时更新和维护自己的包信息。
“Revival Hijack”是一种极具危害性的供应链攻击手法,通过利用PyPI的政策漏洞和开发者行为漏洞实施攻击。为了防范此类攻击,需要用户、开发者和PyPI团队共同努力,加强安全意识和防范措施。
PyPI包被恶意篡改或冒名顶替的迹象主要包括以下几点:
包名称重复:黑客会寻找已下架的合法PyPI包,重新注册相同名称,并上传带有恶意木马的新包。由于用户通常不会注意到包名称背后的变更,这种冒名顶替行为很难被察觉。
异常更新:如果一个长时间没有更新的包突然发布了新版本,尤其是当新版本的发布者、描述或内容与之前大相径庭时,这可能是包被恶意篡改的迹象。
恶意代码:安装或更新包后,系统出现异常行为,如性能下降、数据丢失、未授权的网络访问等,这些都可能是包中包含恶意代码的表现。通过代码审查或使用安全检测工具可以发现这些恶意代码。
用户反馈:如果多个用户报告在使用某个包后遇到了相似的问题,如系统崩溃、数据泄露等,这可能是该包被恶意篡改或包含恶意软件的证据。
安全警告:安全公司或研究机构发布关于特定PyPI包的警告或通报,指出这些包存在安全风险或已被恶意篡改。这些警告通常基于深入的安全分析和技术证据。
下载量激增:在某些情况下,被恶意篡改或冒名顶替的包可能会在短时间内出现下载量激增的现象,这可能是由于黑客通过某种方式推广了这些包。然而,并非所有下载量激增的包都是恶意的,因此需要结合其他迹象进行判断。
请注意,以上迹象并非绝对可靠,因为恶意攻击者可能会采取措施来掩盖他们的行为。因此,在下载和使用PyPI包时,建议开发者保持警惕,仔细核对包信息,并使用安全检测工具进行验证。
网友评论