引言
近年来,随着开源社区的蓬勃发展,PyPI(Python Package Index)作为Python社区最大的包管理平台,吸引了大量开发者。然而,恶意软件攻击者也瞄准了这个平台,利用新型攻击手法,假冒正牌套件引诱受害者上当。本文将为您揭示这一新型攻击手法及其影响。
新型攻击手法:Revival Hijack
据悉,这种新型攻击手法被称为“Revival Hijack”。攻击者首先寻找已经下架的合法PyPI套件,然后重新注册相同名称,并上架恶意套件。这种手法无需依赖开发者出错,即可趁虚而入。如果受害者有使用最新版套件的习惯,甚至通过CI/CD环境自动更新,就有可能中招。
影响广泛,安全堪忧
据研究,这种挾持攻击手法已影响12万个PyPI套件。研究人员进一步排除恶意套件和垃圾套件,针对下载数量超过10万次或运营超过半年的套件进行统计,认为至少有2.2万个PyPI套件容易成为黑客下手的目标。
防范措施及呼吁
为了防止黑客利用这种攻击手法,研究人员接管部分已下架的套件名称,并上传0.0.0.1版的空套件,以避免现有套件用户的CI/CD环境自动拉取、更新。然而,即便采取了这样的措施,这些被研究人员接管的套件几天内就出现数千次下载数,3个月后,总下载数已超过20万次。这表明Revival Hijack造成的影響相當廣泛。
为此,研究人员呼吁PyPI应采取严格的政策,全面禁止重复使用相同的套件名称。同时,开发者在使用PyPI套件时,应提高警惕,避免使用已下架的套件,并定期更新所使用的套件,以确保安全。
总结
恶意PyPI套件攻击对开发者来说是一个严重的威胁。了解新型攻击手法,提高安全意识,并采取相应的防范措施,是保护自己免受攻击的关键。希望本文能对您有所帮助。
Views: 0