駭客於NPM、PyPI上架惡意開發套件的情況相當氾濫,其中一種手法就是尋找曾經上架過,但目前已經棄用的套件名稱,重新註冊相同名稱及相關網域,然後上架惡意套件。一年前資安業者JFrog揭露這種手法,並稱做Revival Hijack,警告駭客已廣泛利用,如今PyPI儲存庫的管理群也採取行動,防堵有關攻擊。
8月18日PyPI軟體基金會(PSF)宣布,為了防治攻擊者將廢棄網域名稱「復活」的供應鏈攻擊手法,他們現在開始會檢查套件開發者使用的網域是否過期,以防有人藉此接管PyPI用戶的帳號。這項措施將改善PyPI整體用戶的安全態勢,使得攻擊者想要利用過期(Expired)網域名稱,對用戶的PyPI帳號進行未經授權存取的難度增加。這項做法不盡完美,但能大幅減少這種看起來合法的攻擊面。
針對採取上述新措施的原因,PSF指出,他們在6月初發現,有超過1,800個電子郵件信箱所使用的網域名稱,進入失效狀態。由於電子郵件信箱是驗證使用者帳號所有權最有力的指標,一旦相關的網域名稱過期,攻擊者就有可能重新註冊,發送電子郵件要求重設密碼,進而得到PyPI帳號的存取權限。
PSF今年4月開始進行廣泛檢查,現在他們每天比對網域名稱的使用狀態,確認是否出現變動,一旦出現有開發者的網域名稱進入回收期,代表他們最初通過驗證的電子郵件信箱可能無法再受到信任,此時PSF會將先前已驗證的電子郵件信箱,改為尚未驗證的狀態,PSF強調,對於這些電子郵件信箱變成未驗證狀態的用戶,他們不會處理相關的密碼重設請求。
對於PyPI用戶的部分,PSF建議用戶應新增第二個可用來驗證的電子郵件信箱,並啟用雙因素驗證(2FA),降低帳號遭到挾持的資安風險。
資料來源:iThome