Hasta 22.000 paquetes de PyPI pueden estar en riesgo de ser secuestrados en una técnica de ataque de cadena de suministro recientemente desarrollada, según revela una investigación. Los investigadores de seguridad del especialista en DevOps JFrog publicaron un blog advirtiendo a los desarrolladores sobre una nueva técnica de ataque que aprovecha la capacidad de volver a registrar paquetes populares una vez que el propietario original los elimina del índice de PyPI. La técnica, denominada ‘Revival Hijack’, se basa en un vector de ataque popular utilizado para atacar repositorios de software de código abierto, ‘typosquatting’, mediante el cual los piratas informáticos registran nombres de paquetes que son casi idénticos a los populares utilizados en miles de aplicaciones. A menudo, cambiando solo una letra, los desarrolladores pueden instalar accidentalmente el paquete malicioso si no prestan mucha atención a su nombre. Al depender del error humano, la eficacia de este tipo de ataque ha disminuido un poco a medida que los desarrolladores se han vuelto más conscientes de la técnica y los entornos de desarrollo modernos comenzaron a introducir mitigaciones para neutralizar la amenaza. Revival Hijack, sin embargo, aprovecha el hecho de que cuando los desarrolladores eliminan sus proyectos del repositorio de PyPI, sus nombres quedan disponibles de inmediato. Esto presenta una apertura donde los actores de amenazas pueden cargar rápidamente su propio paquete malicioso con el mismo nombre y esperar a que los desarrolladores desprevenidos o los sistemas CI/CD los descarguen. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre ciberdelito y seguridad de IA, recientemente actualizado para 2024. JFrog señaló que la única salvaguarda para proteger a los desarrolladores de la descarga inadvertida de paquetes maliciosos es un cuadro de diálogo que advierte al desarrollador original sobre las posibles consecuencias de eliminar el paquete. Uno de los autores del blog, Brian Moussalli, líder de investigación de malware en JFrog, advirtió que esta técnica ya se está explotando en la naturaleza, proporcionando un ejemplo del paquete ‘pingdomv3’ secuestrado por actores de amenazas. Agregó que esta es solo la última técnica en una superficie de ataque de paquetes PyPI cada vez más compleja. «La superficie de ataque de paquetes PyPI está creciendo continuamente. A pesar de la intervención proactiva aquí, los usuarios siempre deben permanecer atentos y tomar las precauciones necesarias para protegerse a sí mismos y a la comunidad PyPI de esta técnica de secuestro». El ataque PyPi «extremadamente poderoso» no depende del error humano Moussalli y su coautor, Andrey Polkovnichenko, investigador de seguridad en JFrog, etiquetaron el ataque como «extremadamente poderoso», ofreciendo tres justificaciones para esta descripción. En primer lugar, a diferencia de técnicas anteriores como typosquatting, el ataque no depende de que la víctima cometa un error al instalar el paquete. Además, la mayoría de los desarrolladores consideran que actualizar un paquete «antes seguro» a su última versión es una operación libre de riesgos, sin entender que esta última versión podría ser de un desarrollador diferente y potencialmente maliciosa. Finalmente, Moussalli y Polkovnichenko notaron que muchas máquinas CI/CD están configuradas para instalar estos paquetes automáticamente, lo que significa que podrían estar cargando malware en su sistema sin que un humano esté involucrado. Henrik Plate, investigador de seguridad en Endor Labs, enfatizó que el riesgo que este vector de ataque representa para los usuarios finales es muy real, pero depende de la seguridad de los usuarios. «Este riesgo es real y depende de la popularidad del paquete. El riesgo probablemente disminuye si los paquetes se han eliminado hace mucho tiempo, porque cuanto más tiempo lleva un paquete fuera de servicio, más desarrolladores y canales han notado su falta de disponibilidad y han adaptado sus declaraciones de dependencia». Plate hizo referencia al ejemplo de ‘pingdomv3’ proporcionado por Moussalli y Polkovnichenko, y destacó la velocidad con la que el atacante pudo cargar un paquete señuelo con el mismo nombre. «En este contexto, es digno de mención que el ejemplo proporcionado se restableció poco después de la eliminación, lo que podría indicar que el atacante monitoreó las eliminaciones de paquetes en PyPI».