Según los investigadores de seguridad, se está explotando un nuevo ataque a la cadena de suministro de software. La técnica apunta a aplicaciones Python distribuidas a través del índice de paquetes Python o PyPI. Los investigadores de la empresa de seguridad de la cadena de suministro de software JFrog creen que el ataque, denominado «Revival Hijack», podría afectar a 22.000 paquetes Python existentes. Eso, a su vez, podría provocar decenas de millones de descargas infectadas. Revival Hijack explota una posible brecha de seguridad creada cuando los autores eliminan proyectos del repositorio PyPI. Una vez que un desarrollador elimina el paquete de PyPI, el nombre del paquete queda disponible para que cualquier otro usuario lo registre. Los piratas informáticos pueden secuestrar el nombre del paquete y usarlo para distribuir código malicioso. Riesgo de ataque a la cadena de suministro «Once Safe» Revival Hijack aprovecha el hecho de que las víctimas pueden actualizar sin saberlo un paquete «once safe», sin saber que ha sido alterado o infectado. Además, las máquinas CI/CD suelen estar configuradas para instalar actualizaciones de paquetes automáticamente. Los investigadores de JFrog Brian Moussalli y Andrey Polkovnichenko advierten que esto plantea un riesgo mucho mayor que los ataques anteriores a la cadena de suministro de software que se basaban en el typosquatting y, por lo tanto, en el error humano, para distribuir código malicioso. El equipo de investigación reprodujo el ataque, utilizando un paquete impostor con el mismo nombre pero un número de versión diferente y un código completamente diferente. En pruebas posteriores, descubrieron que los paquetes «secuestrados de forma segura» se habían descargado 200.000 veces en tres meses. «El Revival Hijack no es solo un ataque teórico: nuestro equipo de investigación ya lo ha visto explotado en la naturaleza», explicó Shachar Menashe, director senior de JFrog Security Research. «El uso de un comportamiento vulnerable en el manejo de paquetes eliminados permitió a los atacantes secuestrar paquetes existentes, lo que hizo posible instalarlos en los sistemas de destino sin interacción del usuario». Advertencia de código infectado para desarrolladores Según los investigadores de JFrog, los equipos de ciberseguridad han reducido los riesgos del typosquatting. Esto obliga a los piratas informáticos maliciosos a buscar otras formas de colocar código infectado en repositorios, como Revival Hijack. Lea más sobre typosquatting en PyPI: Nuevas tácticas de typosquatting y repojacking descubiertas en PyPI Aunque PyPI advierte a los desarrolladores que eliminan paquetes que su nombre puede reutilizarse y restringe el reemplazo de versiones específicas de un paquete, los investigadores de JFrog han pedido «una política más estricta que prohíba por completo la reutilización del nombre de un paquete». Los desarrolladores que utilizan repositorios de código también deben estar atentos, dijo a Infosecurity Michael Clark, director de investigación de amenazas en Sysdig, un especialista en seguridad en la nube. «Los repositorios, como PyPI, ofrecen un desafío difícil cuando se trata de seguridad porque a menudo los desarrolladores confían implícitamente en ellos», dijo. «Siempre que el nombre sea correcto, la sensación de peligro es baja. El ataque Revival Hijack demuestra este problema, ya que el nombre del repositorio malicioso coincidirá con el nombre de confianza anterior. “El análisis estático y en tiempo de ejecución de las dependencias de estos repositorios es imprescindible para evitar ataques que utilicen este vector”.