|
依赖混淆攻击——包管理器的供应链陷阱 摘要:依赖混淆(Dependency Confusion)是一种软件供应链攻击,黑客在公共仓库(如npm、PyPI、Maven Central)上传与私有包同名的更高版本号包,当构建工具配置不当(同时使用私有源和公共源)时,会拉取恶意公共包代替私有包,从而执行任意代码。本文分析攻击流程及防御:使用私有仓库scoped包、锁定版本、验证哈希。 关键词:黑客网站攻击;依赖混淆;渗透测试;供应链安全;包管理器
一、引言2021年,多名安全研究员发现大量公司内部包名在公共PyPI、npm上未被注册,黑客抢先注册同名的恶意高版本包,导致依赖混淆攻击。这一黑客手段已成为现代DevOps环境下的严重威胁。 二、攻击原理公司内部使用私有PyPI仓库存储mycompany-internal-lib,版本为1.0.0。 黑客在公共PyPI上传mycompany-internal-lib,版本为99.0.0。 开发人员的pip install配置为同时索引私有源和公共源,由于公共源版本号更高,pip下载了恶意包,执行其中setup.py的恶意代码。
三、防御措施使用scoped包(npm)或命名空间前缀,私有包限定在特定scope。 配置私有仓库优先:确保--extra-index-url不会覆盖私有源,或使用--index-url仅私有源。 锁定版本:使用锁文件(package-lock.json、poetry.lock)固定精确版本,且内部包不使用通配符范围。 使用私有仓库认证:防止攻击者上传同名包(私有仓库应禁止外部注册)。 定期扫描:检测是否有内部包名意外出现在公共仓库。
四、总结依赖混淆攻击利用包管理器的默认行为,防御不需要复杂的代码修改,而是配置上的严谨。
| 
发表于 
收藏
