3519 подписчиков
#news На репозитории PyPI отследили новый метод атаки на цепочку поставок. Он получил название «Revival Hijack», и, как можно догадаться по названию, завязан на перехват удалённых пакетов. Уязвимость сводится к политике удаления с платформы, после которого название пакета сразу доступно для регистрации.
Эксперимент показал, что система PyPI не распознаёт смены авторства пакетов, так что злоумышленники могут с лёгкостью заменить удалённые версии своими. Атаки такого рода уже были по платформе, и исследователи насчитали 22 тысячи уязвимых названий. И не поленились зарезервировать их, загрузив безопасные пустые версии. Это не отменяет возможности продолжения атак по пакетам, которые удалят в дальнейшем, так что разрабам теперь держать в уме очередной возможный вектор атаки. Подробнее о «Revival Hijack» с примером замеченной весной атаки в отчёте.
Около минуты
6 сентября 2024