Según investigadores de seguridad, se está explotando un nuevo ataque a la cadena de suministro de software.
Esta técnica está destinada a aplicaciones Python distribuidas a través del Índice de paquetes Python (PyPI).
Los investigadores de la empresa de seguridad de la cadena de suministro de software JFrog creen que el ataque, denominado “Revival Hijack”, podría afectar a 22.000 paquetes Python existentes. Esto podría provocar decenas de millones de descargas infectadas.
Revival Hijack explota una posible brecha de seguridad creada cuando un autor elimina un proyecto de un repositorio PyPI.
Cuando un desarrollador elimina un paquete de PyPI, el nombre del paquete queda disponible para que otros usuarios lo registren. Los piratas informáticos pueden secuestrar nombres de paquetes y distribuir código malicioso.
Riesgos de ataques a la cadena de suministro “que alguna vez fueron seguras”
Revival Hijack aprovecha el hecho de que las víctimas pueden actualizar sin saberlo paquetes “que alguna vez fueron seguros” sin saber que han sido modificados o infectados. Además, las máquinas CI/CD suelen estar configuradas para instalar automáticamente actualizaciones de paquetes.
Los investigadores de JFrog, Brian Moussalli y Andrey Polkovnichenko, dicen que este es un ataque mucho mayor que los ataques anteriores a la cadena de suministro de software que se basaban en errores tipográficos o errores humanos para distribuir código malicioso. Advierten que representa un riesgo.
Los investigadores recrearon el ataque utilizando un paquete falso con el mismo nombre pero con un número de versión diferente y un código completamente diferente. Pruebas adicionales revelaron que el paquete “secuestrada de forma segura” se había descargado 200.000 veces en tres meses.
“El secuestro de avivamiento no es sólo un ataque teórico; nuestro equipo de investigación ya ha visto cómo se explota en la naturaleza”, explica Brian Musari, líder del equipo de investigación de JFrog.
“Al explotar un comportamiento vulnerable en el manejo de paquetes eliminados, un atacante podría secuestrar paquetes existentes e instalarlos en el sistema objetivo sin interacción del usuario”.
Advertencia de código infectado para desarrolladores
Los investigadores de JFrog dicen que su equipo de ciberseguridad ha reducido el riesgo de errores tipográficos. Esto obliga a los piratas informáticos malintencionados a considerar otros métodos para colocar código infectado en repositorios, como Revival Hijack.
Lea más sobre typosquatting en PyPI: Nuevas tácticas de typosquatting y repojacking descubiertas en PyPI
PyPI advierte a los desarrolladores que eliminan paquetes que el nombre del paquete puede reutilizarse y les restringe la posibilidad de reemplazar versiones específicas del paquete, pero los investigadores de JFrog estamos pidiendo políticas más estrictas que prohíban por completo la reutilización de nombres.
Michael Clarke, director de investigación de amenazas del experto en seguridad en la nube Sysdig, dijo a Infosecurity que los desarrolladores que utilizan repositorios de códigos también deben tener cuidado.
“Los repositorios como PyPI presentan un desafío de seguridad difícil porque a menudo los desarrolladores confían implícitamente en ellos”, dice.
“Mientras el nombre sea correcto, hay poco riesgo. El ataque Revival Hijack ejemplifica este problema porque el nombre del repositorio malicioso coincide con un nombre previamente confiable. El uso de este vector es obligatorio para evitar el análisis estático y en tiempo de ejecución de las dependencias de estos repositorios. tales ataques.
https://www.infosecurity-magazine.com/news/pypi-revival-hijack/
