Revival Hijack: удалил PyPI-пакет – заразил сотни тысяч пользователей
Новый метод атаки превращает безопасные пакеты во вредоносное ПО.
Команда JFrog обнаружила новый метод атак на цепочку поставок ПО, который был использован против PyPI-пакетов. Метод, получивший название «Revival Hijack», основан на возможности повторной регистрации удалённых пакетов. Атака заключается в том, что после удаления пакета с платформы его название становится доступным для регистрации другим пользователям, что позволяет злоумышленникам захватывать популярные пакеты и распространять вредоносное ПО.
Исследование показало, что таким образом можно захватить около 22 000 существующих пакетов, что могло бы привести к сотням тысяч скачиваний вредоносных версий. Однако JFrog удалось предотвратить значительный ущерб до того, как киберпреступники смогли воспользоваться уязвимостью в широком масштабе.
В случае с PyPI, одним из самых уязвимых мест платформы является политика удаления пакетов. Как только проект удаляется, его название сразу становится доступным для повторной регистрации. При этом пользователи не получают предупреждений об удалении пакета. Такой механизм делает метод Revival Hijack особенно опасным, так как пользователи могут обновлять (когда-то безопасные) пакеты, не подозревая о том, что их уже захватили злоумышленники.
Диалоговое окно удаления пакета
Один из таких примеров — пакет «pingdomv3», который был перехвачен и использован для распространения вредоносного кода. После захвата пакета хакеры внедрили вредоносный код, который исполнялся при установке или обновлении пакета. Однако код был быстро обнаружен и удалён.
В ходе эксперимента команда JFrog протестировала данный метод, создав тестовые пакеты и захватив их после удаления. Результаты показали, что система PyPI не распознаёт изменения авторства пакетов, что позволяет злоумышленникам легко заменять удалённые версии на свои, не вызывая никаких предупреждений при обновлении.
Цепочка атаки Revival Hijack
Для предотвращения атак команда JFrog зарезервировала более 22 000 пакетов с помощью специальной учётной записи, загрузив безопасные пустые версии пакетов. Таким образом, удалось защитить сообщество PyPI от угроз, связанных с данным типом атак. Тем не менее, команда подчёркивает, что пользователи должны оставаться внимательными и избегать установки пакетов, которые были удалены, чтобы минимизировать риск.