2025-03-17 | 周峻佑
此篇文章聚焦於開源生態已下架或刪除的 Python、NPM 套件可能遭攻擊者重新註冊,進而發動供應鏈攻擊的嚴重資安風險。由於許多企業與開發者依賴這些相依性套件(Dependency Packages),「退場機制」的漏洞可能導致惡意程式植入,進一步影響大量使用者,資安研究人員對此高度關注。
資安研究員Kartik Singh 近期通報CVE-2025-27607,此漏洞影響Python JSON Logger 3.2.0、3.2.1 版,可能導致 遠端程式碼執行(RCE),CVSS 風險評分 高達 8.8 分。問題起因於 msgspec-python313-pre 套件被下架,使攻擊者能夠重新註冊相同名稱的套件,並植入惡意程式碼,影響所有依賴該相依性套件的 Python JSON Logger 用戶。
文章指出,當相依性套件被刪除,但其名稱仍可被新註冊時,攻擊者可惡意上傳同名套件,導致開發者 無意間下載並執行惡意代碼。此次事件雖未發現惡意利用跡象,但 PyPI 已回收該套件名稱,防止未來遭到濫用。開發團隊亦迅速發布 3.3.0 版修補漏洞,建議所有用戶 立即更新。
最後文章強調,開源套件的「退場機制」設計不良,可能讓惡意攻擊者輕易植入後門。雖然 Python JSON Logger 事件暫未釀成災情,但資安風險不可輕忽。開發者應 即時更新受影響的相依性套件,並留意 供應鏈安全管理,確保應用程式運行環境的完整性與安全性。
