新型供应链攻击手法 — “Revival Hijack”

news2024/11/15 17:35:58

JFrog 的网络安全研究人员发现了一种名为“Revival Hijack”的新型 PyPI 攻击技术,该技术利用包删除策略绕过安全检查。据统计,超过 22,000 个程序包处于风险之中,可能会影响数十万名用户。

图片

       JFrog 的网络安全研究人员发现了一种用于攻击 Python 包索引存储库的新供应链攻击技术,可能会影响超过22,000 个软件包并威胁到无数用户。

       该技术被称为“Revival Hijack”,它利用了一个策略漏洞,允许攻击者在原始开发人员从 PyPI 中删除包后重新注册和劫持包。

Revival Hijack – 如何运作

       与依赖于用户拼写错误包名称的传统攻击手法不同,Revival Hijack 利用了流行包的删除和重新注册。当开发人员从 PyPI 中删除他们的项目时,包名称可供其他任何人注册。然后,攻击者可以上传这些包的恶意版本,毫无戒心的用户可能会下载并安装这些包,认为它们是合法的。

图片

       JFrog 的技术分析显示,超过 22,000 个 PyPI 包暴露在 Revival Hijack 攻击中。这意味着数十万用户可能会在不知不觉中下载有害软件。

图片

对 Revival Hijack 进行测试

       为了证明 Revival 劫持的可行性,JFrog 进行了一项安全的实验。他们创建并发布了一个包,然后将其删除并在其他用户下重新注册。实验表明,新的冒名顶替程序包显示为合法更新,程序包管理器没有发出警告。

       2024 年 4 月 12 日,JFrog 的系统检测到涉及“pingdomv3”包的异常活动,该软件包的最早版本标记为 0.0.2,于 2019 年 11 月 29 日发布。这个合法软件包包含 Pingdom API 的 Python 实现(Pingdom API 是 SolarWinds 软件开发公司于 2014 年收购的网站监控服务)。

       该软件包于2024年3月30日被删除,然后一个新所有者立即重新注册,他开始是发布了一个明显无害的更新,然后又发布了一个包含可疑的 Base64 混淆有效负载的版本。JFrog立即上报了该包的异常,PyPI 维护者删除了恶意包。

图片

       好消息是,JFrog 的主动措施保障了在发生任何重大损害之前挫败了攻击者的企图。坏消息是,JFrog 的团队在随后几天内仍观察到数千次相关包的下载,这表明遭受供应链攻击的风险很高。

专家评论

       Endor Labs 的安全研究员 Henrik Plate 对调查结果进行了分析:“这种风险是真实的,并且取决于软件包的受欢迎程度。如果很久以前就删除了包,风险可能会降低。

       Plate 指出,在提供的示例中,包的快速恢复表明攻击者可能正在主动监控 PyPI 的删除情况。

       “正如 Endor Labs Risk Explorer 所记录的那样,恢复已删除的软件包的问题是众所周知的。此类攻击手法还包括恢复 GitHub 存储库和 npm 包等场景,“Plate 解释说。

       他强调了对软件包注册表的严格安全准则的重要性,并引用了 OpenSSF 提出的原则。

保持警惕

       JFrog 已向 PyPI 的安全团队报告了此问题,并敦促制定更严格的策略来防止重复使用包名称。他们还敦促用户保持警惕,并确保他们的CI/CD系统不会尝试安装已从 PyPI 中删除的软件包。

完整分析过程:https://jfrog.com/blog/revival-hijack-pypi-hijack-technique-exploited-22k-packages-at-risk/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2109983.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

易灵思时钟输出问题记录

在添加 GPIO时,设置Mode为clkout,并在output Clock中输入时钟名。 这里需要 注意的是, 1. 时钟名不能从core直接输出,而只能使用interface中使用的时钟,如PLL输出的时钟或者GCLK输入的时钟。 2. 易灵思输出时钟不能做其他用途&a…

2024中国产业园区运营商50强榜单揭晓:行业洗牌加速,数智化是关键!

近日,备受瞩目的“2024年度中国产业园区运营商50强”榜单正式揭晓,不仅照亮了行业内的领军之星,更为我们揭示了产业园区运营管理平台在推动经济转型升级中的关键力量与未来趋势的璀璨图景。 从以上产业园区运营商 50 强的角度来看&#xff0…

30岁程序员的焦虑:转行还是继续死磕?现在什么方向更有前景?

最适合转入AI大模型的莫过于程序员和在读大学生了吧。 对于程序员来说,码农之路并不是一帆风顺。对于每一个入行IT业的社会青年来说,谁不是抱着想要成为最高峰的技术大咖或者跃进管理岗的小目标? 然而往往更多的人并非互联网吹捧的如此耀眼…

云原生技术:‌引领数字化转型的新浪潮

云原生技术:‌引领数字化转型的新浪潮 在数字化转型的时代背景下,‌企业面临着前所未有的挑战与机遇。‌随着云计算技术的飞速发展,‌云原生技术作为一种新型的应用程序开发和部署方式,‌正逐步成为构建高可用、‌可扩展应用程序…

MySQL复习1

基本概念 OLTP OLTP(On-Line transaction processing)翻译为联机事物处理;主要对数据库增删改查。 OLTP 主要用来记录某类业务事件的发生;数据会以增删改查的方式在数据库中更新处理操作,要求实施性强,稳…

OS_程序的装入与链接

2024.09.05:操作系统程序的装入与链接学习笔记 第12节 程序的装入与链接 2.1 程序的装入2.1.1 绝对装入方式2.1.2 可重定位装入方式(静态重定位)2.1.3 动态运行时装入方式(动态重定位) 2.2 程序的链接2.2.1 静态链接方…

LIN总线CAPL函数—— 检查LIN报头的时间(ChkStart_LINHeaderToleranceViolation

🍅 我是蚂蚁小兵,专注于车载诊断领域,尤其擅长于对CANoe工具的使用🍅 寻找组织 ,答疑解惑,摸鱼聊天,博客源码,点击加入👉【相亲相爱一家人】🍅 玩转CANoe&…

高级算法设计与分析 学习笔记3 哈希表

首先我们要讨论一个把n个数据放到列表S里面的问题: 但很显然,这些数据的范围有多大这个T就得有多大,而实际上要放的数字可能就几个(比如就放一个1和一个10000000,那我还是要准备一个巨大的T),不…

【STM32】cubemx配置GPIO

直接使用STM32CubeMX点灯 使用之前的工程 配置GPIO 对四个灯设置GPIO输出 close后直接打开keil 演示

基于LangChain+LLM的相关技术研究及初步实践

0 1 概述 大模型概述 大模型是指具有大规模参数和复杂计算结构的机器学习模型。这些模型通常由深度神经网络构建而成,拥有数十亿甚至数千亿个参数。大模型的设计目的是为了提高模型的表达能力和预测性能,能够处理更加复杂的任务和数据。大模型在各种领…

提高 Facebook 参与度的 8个技巧

在社交媒体中,Facebook仍然是企业与受众建立联系的重要渠道。无论你是刚刚建立 Facebook 业务主页,还是经验丰富的营销人员,都必须了解人们如何跟你的主页互动。 一、什么是 Facebook 参与度? Facebook的参与度是指用户对你的 F…

潜望长焦+快充:vivo X200系列,小尺寸手机的大突破

在智能手机市场日益激烈的竞争中,厂商们不断推陈出新,以满足消费者多样化的需求。vivo作为中国知名的智能手机品牌,一直以其创新的设计和强大的功能赢得市场的认可。 近日,vivo X200系列的即将发布引起了广泛关注,特别…

开学季装机必备软件 向日葵远程控制,手机也能变电脑

暑假转眼结束,又来到了9月开学季。 这个时间点,不少同学会选择为自己购置一台电脑,放置在宿舍使用。 一台全新的PC电脑该安装哪些软件呢?基本的办公全家桶不用多说,steam、epic等游戏娱乐平台更是无需多言。除此之外…

Spring Cloud Gateway学习记录

Spring中文网 https://springdoc.cn/spring-cloud-gateway/ Spring官网 https://spring.io/projects/spring-cloud-gateway 网关简介 大家都都知道在微服务架构中,一个系统会被拆分为很多个微服务。那么作为客户端要如何去调用这么多的微服务呢? 如果…

如何恢复格式化的 Android 智能手机

如何恢复Android手机上格式化的数据 格式化智能手机的存储卡后,您想恢复图片、视频、音乐吗?您想从 Android 手机中恢复已删除的文本吗?格式化存储卡后,如何恢复存储卡上的图片? 使用奇客数据恢复,这款特…

可解释人工智能(XAI)领域的全面概述

AI 模型,尤其是深度学习模型,由于其黑盒性质,在安全关键领域(如医疗保健、金融和自动驾驶汽车)中面临着重大挑战。用户无法理解模型的内部逻辑和决策过程,这导致了缺乏信任、透明度和问责制。XAI 通过提供模…

C的温故而知新:The Last(C Primer Plus第十六、十七章)

The Last 想必是后面的内容超出大一课程规定的内容了,后面的文章数据惨的可怜。搜一下就能看见,好多人主张这本书后面几张可以不看。咋讲呢,对于这个观点来说,我本人是不认同的,我呢,粗略的看了看后两章的…

降Compose十八掌之『羝羊触蕃』| Handle Platform Lifecycles

公众号「稀有猿诉」 原文链接 降Compose十八掌之『羝羊触蕃』| Handle Platform Lifecycles Jetpack Compose是一个独立的声明式UI框架,它并不受限于任何操作系统平台,从框架定位的角度来讲,它是跨平台的,也应该要跨平台。…

Mail PHP: 如何设置SMTP服务器以发送邮件?

Mail PHP的功能怎么有效配置?Mail PHP的性能如何优化? 无论是用户注册确认、密码重置,还是系统通知,邮件发送功能都是不可或缺的。在PHP中,使用SMTP服务器发送邮件是一种高效且可靠的方式。AokSend将详细介绍如何在Ma…

如何通过HARQ确定新传和重传?

有朋友对如何通过HARQ判断是否是新传还是重传有疑问,这里就简单整理下相关内容。 先看下DL 新传和重传是如何判定的。 HARQ process根据DCI 中的New data indicator(NDI) field指示来判定接收的TB块是新传还是重传block: 1 相同HARQ id ,相比…