- Google के Threat Analysis Group (TAG) ने हाल ही में पुष्टि की है कि सुरक्षा शोधकर्ताओं को निशाना बनाकर हमले किए गए, और इनमें दुरुपयोग किए गए zero-day vulnerability मौजूद थे.
- इन zero-day vulnerabilities की सूचना संबंधित vendor को दे दी गई है, और patch पर काम चल रहा है.
- उत्तर कोरिया के हमलावरों ने Twitter जैसे social media के माध्यम से लक्षित लोगों से सक्रिय रूप से बातचीत की और संबंध बनाए.
- वास्तव में, उन्होंने एक सुरक्षा शोधकर्ता के साथ साझा रुचि वाले विषयों पर कई महीनों तक बातचीत की और भरोसा बनाया.
- इसके बाद वे encrypted messaging app पर चले गए और लोकप्रिय software package के लिए कम से कम 1 zero-day vulnerability शामिल करने वाली malicious file भेजी.
- exploit सफल होने पर shellcode ने virtual machine की जांच की, विभिन्न जानकारियां हमलावर के server पर भेजीं, और इसे पहले पहचाने गए उत्तर कोरियाई vulnerability हमलों के समान तरीके से लागू किया गया था.
- zero-day vulnerability के जरिए किए गए targeted attacks के अलावा, उन्होंने reverse engineering के लिए open source tools भी विकसित किए और उन्हें Github पर जारी किया.
- यह program पहली बार 30 सितंबर 2022 को प्रकाशित किया गया था, और उसके बाद सक्रिय रूप से विकसित किया गया तथा कई बार update किया गया.
- लेकिन इस tool में ऐसा backdoor शामिल था जो हमलावर के server से arbitrary code डाउनलोड और execute कर सकता था.
- TAG की सिफारिश है कि यदि इस tool का उपयोग किया गया हो, तो system की जांच की जाए और आवश्यकता होने पर OS को फिर से install किया जाए.
- पहचानी गई सभी malicious websites और domains को Google Safe Browsing में जोड़ दिया गया है, और जिन Google accounts पर असर पड़ा हो सकता है उन्हें सरकारी समर्थन प्राप्त हमले की चेतावनी भेजी गई है.
- साथ ही, dbgsymbol, blgbeach, @Paul091_ सहित सभी malicious domains, files और accounts को भी सार्वजनिक किया गया है.
5 टिप्पणियां
लक्षित हमले भी डरावने हैं, लेकिन open source प्रोजेक्ट में malicious code डाला गया हिस्सा शायद और ज़्यादा सावधानी से देखने लायक है।
कहा गया है कि उस टूल का source code सामान्य था, लेकिन Github Release में शामिल फ़ाइलों में malicious code था।
GitHub stars भी 200 से ज़्यादा थे...
लगातार अचानक security न्यूज़ आ रही हैं। लगता है सबको security पर ध्यान देना चाहिए।
सोर्स कोड तो फिर भी शायद verify हो जाएगा, लेकिन यह नहीं सोचा था कि वह Release से अलग होगा। security का तो कोई अंत ही नहीं है..
यह भी एक तरह का supply chain attack लगता है।
संयोग से, ठीक 1 महीने पहले रिलीज़ हुए Go 1.21.0 के मामले में उन्होंने ब्लॉग पर एक पोस्ट डाली थी कि पहली बार उनके toolchain build artifacts पूरी तरह reproducible हैं। उस लेख के शुरुआती दो पैराग्राफ़ इस प्रकार हैं।
Perfectly Reproducible, Verified Go Toolchains
> open source software का एक बड़ा फ़ायदा यह है कि कोई भी source code पढ़ सकता है और उसकी functionality की जाँच कर सकता है। लेकिन ज़्यादातर software, यहाँ तक कि open source software भी, compiled binary के रूप में डाउनलोड किए जाते हैं, इसलिए उनकी जाँच करना कहीं ज़्यादा कठिन होता है। अगर कोई attacker किसी open source project पर supply chain attack करना चाहे, तो source code बदले बिना वितरित की जा रही binary को बदल देना सबसे कम नज़र आने वाला तरीका है.
>
> इस तरह के attack का सबसे अच्छा जवाब यह है कि open source software builds को reproducible बनाया जाए। यानी, एक ही source से शुरू होने वाला build हर बार चलने पर वही output पैदा करे। तब कोई भी वास्तविक source से build कर सकता है और यह जाँच सकता है कि rebuilt binary प्रकाशित binary से bit-for-bit एक जैसी है या नहीं, ताकि यह पुष्टि की जा सके कि प्रकाशित binary में कोई छिपा हुआ बदलाव नहीं है। यह तरीका binary को disassemble किए बिना या उसके अंदर झाँके बिना यह साबित करता है कि उसमें कोई backdoor या source code में मौजूद न होने वाला कोई अन्य बदलाव नहीं है। चूँकि कोई भी binary को verify कर सकता है, इसलिए स्वतंत्र समूह supply chain attacks को आसानी से detect और report कर सकते हैं। (DeepL अनुवाद)
मैं सोच रहा था कि ऐसी चीज़ की चिंता क्यों की जा रही है, लेकिन लगता है कि लगभग 1 साल पहले से ही इस तरह के हमले गुप्त रूप से किए जा रहे थे। आह, दुनिया सचमुच कितनी भयावह होती जा रही है…
मैं भी GitHub पर code के साथ अपलोड की गई चीज़ों पर थोड़ा ज़्यादा भरोसा करता हूँ... लेकिन अब सावधान रहना पड़ेगा.
लगता है हमेशा code review करना और खुद build करना ही एकमात्र तरीका है...
HN थ्रेड का AI सारांश