Cybersicherheitsexperten von JFrog haben eine neuartige Angriffstechnik namens „Revival Hijack“ identifiziert, die die Integrität von Software-Lieferketten bedroht. Diese Methode nutzt eine Schwachstelle im Python Package Index (PyPI) aus, indem Angreifer die Namen gelöschter Pakete für bösartige Zwecke wiederverwenden.
Funktionsweise des Revival Hijack-Angriffs
Der Revival Hijack-Angriff basiert auf einer Eigenheit des PyPI-Systems: Nach der Löschung eines Pakets wird dessen Name für die Neuregistrierung freigegeben. Cyberkriminelle nutzen diese Möglichkeit, um neue Projekte unter den Namen ehemals vertrauenswürdiger, aber mittlerweile gelöschter Pakete zu registrieren. Laut JFrog könnten auf diese Weise potenziell bis zu 22.000 PyPI-Pakete kompromittiert werden, was zu hunderttausenden Downloads schädlicher Software führen könnte.
Risiken und Auswirkungen
Die Gefahr des Revival Hijack liegt in der Ausnutzung des aufgebauten Vertrauens in etablierte Paketnamen. Entwickler und automatisierte Systeme, die weiterhin die alten Paketnamen verwenden, könnten unwissentlich schädliche Software herunterladen und in ihre Projekte integrieren. JFrog-Forscher stellten fest, dass im Durchschnitt monatlich 309 Pakete aus PyPI entfernt werden, was Angreifern kontinuierlich neue Möglichkeiten eröffnet.
Fallbeispiel: Kompromittierung von pingdomv3
Ein konkretes Beispiel für einen Revival Hijack-Angriff ist der Fall des Pakets „pingdomv3“. Nachdem es am 30. März 2024 aus PyPI entfernt wurde, registrierten Angreifer noch am selben Tag ein neues Paket unter demselben Namen. Die kompromittierte Version enthielt einen in Base64 verschlüsselten Python-Trojaner, der speziell auf Jenkins CI/CD-Umgebungen abzielte.
Präventivmaßnahmen und Empfehlungen
Um die Risiken durch Revival Hijack zu minimieren, haben JFrog-Experten proaktiv neue Python-Projekte unter den Namen der beliebtesten gelöschten Pakete erstellt. Diese „Platzhalter“-Pakete wurden mit der Versionsnummer 0.0.0.1 versehen, um versehentliche Updates zu verhindern. Innerhalb von drei Monaten verzeichneten diese Pakete dennoch fast 200.000 Downloads, was die Dringlichkeit des Problems unterstreicht.
Schutzmaßnahmen für Entwickler und Organisationen
Zur Absicherung gegen Revival Hijack und ähnliche Angriffe empfehlen Cybersicherheitsexperten folgende Maßnahmen:
- Verwendung von Paket-Pinning, um bei vertrauenswürdigen Versionen zu bleiben
- Regelmäßige Überprüfung der Paketintegrität
- Durchführung von Audits des Paketinhalts
- Überwachung von Eigentümerwechseln bei Paketen
- Aufmerksamkeit gegenüber ungewöhnlichen Update-Aktivitäten
Die Entdeckung des Revival Hijack-Angriffs unterstreicht die Notwendigkeit erhöhter Wachsamkeit in der Software-Lieferkette. Entwickler und Organisationen müssen ihre Sicherheitspraktiken kontinuierlich anpassen, um die Integrität ihrer Softwareprojekte zu gewährleisten. Nur durch proaktive Maßnahmen und ein tiefes Verständnis der Bedrohungslandschaft können wir die Risiken in der sich ständig weiterentwickelnden Welt der Cybersicherheit effektiv minimieren.