Pesquisadores de segurança identificaram uma nova técnica de ataque à cadeia de suprimentos de software, chamada “Revival Hijack”, que visa o registro de pacotes do Python Package Index (PyPI). De acordo com os pesquisadores, essa técnica foi explorada em ataques recentes e pode comprometer mais de 22.000 pacotes PyPI removidos, resultando em “centenas de milhares” de downloads de pacotes maliciosos. Esses pacotes são altamente suscetíveis, principalmente aqueles com mais de 100.000 downloads ou que estiveram ativos por mais de seis meses. O ataque aproveita o fato de que os pacotes removidos do repositório PyPI podem ser registrados por outros usuários, permitindo que atacantes publiquem pacotes maliciosos sob o mesmo nome.
Uma das principais preocupações é que os desenvolvedores podem atualizar pacotes aparentemente seguros, sem perceber que o autor foi alterado. Com o comando “pip install –upgrade”, o pacote legítimo pode ser substituído por uma versão maliciosa sem nenhum aviso de que o autor mudou. Embora o PyPI tenha salvaguardas contra falsificação de identidade, a técnica de Revival Hijack ainda representa um grande risco à cadeia de suprimentos de software.
O Revival Hijack já foi explorado em campo em março de 2024, quando um ator malicioso chamado Jinnis re-registrou um pacote chamado “pingdomv3”, logo após o proprietário original tê-lo removido. Algumas semanas depois, uma atualização foi lançada contendo uma carga útil codificada em Base64, projetada para verificar a presença da variável de ambiente “JENKINS_URL”, sugerindo um ataque direcionado.
