El ataque de secuestro de PyPi Revival es horrible e increíblemente vergonzoso

El ataque de secuestro de PyPi Revival es horrible e increíblemente vergonzoso

Demasiado bueno para ID únicos El repositorio de PyPi, acertadamente llamado Índice de paquetes de Python, proporciona aplicaciones y paquetes de Python desarrollados por la comunidad a cualquiera que los necesite. Es similar a GitHub en que cualquiera puede iniciar y monitorear un proyecto en PyPi, y cualquiera puede usar el comando pip para descargar e instalar esos paquetes. Si bien no es tan popular en Windows como lo es en máquinas basadas en Linux, actualmente alberga 564,840 paquetes, los más populares de los cuales reciben millones de descargas cada día. Esto lo convierte en un objetivo perfecto para los delincuentes y ciertamente los hemos visto usarlo con éxito para propagar malware en el pasado. Esto podría llevarle a suponer que PyPi incluye una de las funciones de seguridad más básicas; sin embargo, ya sabes lo que dicen sobre las hipótesis. Se ha descubierto un nuevo vector de ataque, denominado Revival Hijack, que aprovecha el hecho de que PyPi no asigna uno de los atributos únicos más básicos que podría asignar a un paquete para garantizar que sea lo que dice que es. El nombre de un paquete PyPi no está protegido de ninguna manera, por lo que si alguien abandona un proyecto por cualquier motivo y lo elimina de la base de datos, cualquiera puede crear un paquete con el mismo nombre y pip no tiene forma de saber que ha cambiado. . En la mayoría de los escenarios, es posible que tenga proyectos o nombres de usuario duplicados, pero a cada uno se le asigna una identificación única, de modo que si uno se elimina y luego se reemplaza con un nuevo usuario o proyecto con el mismo nombre, la identificación única es diferente para que los sistemas puedan identificarlo. la diferencia. Bleeping Computer publicó una investigación de JFrog que muestra que un atacante puede esperar a que se elimine un proyecto y luego crear inmediatamente un nuevo proyecto con el mismo nombre, completado con el código que desee, y pip estará feliz de descargarlo e instalarlo. PyPI mantiene una lista de bloqueo no pública, pero no hay garantía de que se agregue un proyecto eliminado para evitar que ocurra un ataque como Revival Hijack. Los sombreros negros se dieron cuenta de esto y de hecho se aprovecharon de ello. Puede agradecer a JFrog por ser proactivo y registrar un montón de proyectos eliminados con el nombre security_holding; Es posible que no conserven los paquetes más antiguos, pero evitarán que alguien los recupere con el código modificado. Aparte de ser el desarrollador o estar familiarizado con la inminente eliminación de un proyecto, hay poco que puedas hacer para protegerte. Esperamos noticias si PyPi pretende cambiar esta situación.

About Carlos Carraveo Jimenez

Check Also

Rumores sobre la fecha de lanzamiento del Ryzen 7 9800X3D y predicción de precios

Rumores sobre la fecha de lanzamiento del Ryzen 7 9800X3D y predicción de precios

Prediga la fecha de lanzamiento del Ryzen 7 9800X3D, si la hay. Actualizado: 19 de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *