新型PyPI攻击技术可能导致超2.2万软件包被劫持

文章预览

一种针对 Python 软件包索引（PyPI）注册表的新型供应链攻击技术已在野外被利用，并且目前正试图渗透到下游组织中。 软件供应链安全公司 JFrog 将其代号定为Revival Hijack，并称这种攻击方法可用于劫持 2.2万个现有 PyPI 软件包，并导致数十万次恶意软件包下载。这些易受攻击的软件包下载量已超过 10 万次，或已活跃超过 6 个月。 JFrog安全研究人员Andrey Polkovnychenko和Brian Moussalli在与《黑客新闻》分享的一份报告中说："这种攻击技术涉及劫持PyPI软件包，一旦这些软件包被原所有者从PyPI索引中删除，就操纵重新注册这些软件包的选项。 这种被称为“Revival Hijack”的技术利用了一项政策漏洞，允许攻击者在原始开发人员将软件包从PyPI中删除后重新注册并劫持软件包名称。 与传统的域名抢注攻击不同，Revival Hijack攻击利用的是用户拼写错误的软件包名称， ………………………………