- Google के Threat Analysis Group (TAG) ने हाल ही में पुष्टि की है कि सुरक्षा शोधकर्ताओं को निशाना बनाकर हमले किए गए, और इनमें दुरुपयोग किए गए zero-day vulnerability मौजूद थे.
- इन zero-day vulnerabilities की सूचना संबंधित vendor को दे दी गई है, और patch पर काम चल रहा है.
- उत्तर कोरिया के हमलावरों ने Twitter जैसे social media के माध्यम से लक्षित लोगों से सक्रिय रूप से बातचीत की और संबंध बनाए.
- वास्तव में, उन्होंने एक सुरक्षा शोधकर्ता के साथ साझा रुचि वाले विषयों पर कई महीनों तक बातचीत की और भरोसा बनाया.
- इसके बाद वे encrypted messaging app पर चले गए और लोकप्रिय software package के लिए कम से कम 1 zero-day vulnerability शामिल करने वाली malicious file भेजी.
- exploit सफल होने पर shellcode ने virtual machine की जांच की, विभिन्न जानकारियां हमलावर के server पर भेजीं, और इसे पहले पहचाने गए उत्तर कोरियाई vulnerability हमलों के समान तरीके से लागू किया गया था.
- zero-day vulnerability के जरिए किए गए targeted attacks के अलावा, उन्होंने reverse engineering के लिए open source tools भी विकसित किए और उन्हें Github पर जारी किया.
- यह program पहली बार 30 सितंबर 2022 को प्रकाशित किया गया था, और उसके बाद सक्रिय रूप से विकसित किया गया तथा कई बार update किया गया.
- लेकिन इस tool में ऐसा backdoor शामिल था जो हमलावर के server से arbitrary code डाउनलोड और execute कर सकता था.
- TAG की सिफारिश है कि यदि इस tool का उपयोग किया गया हो, तो system की जांच की जाए और आवश्यकता होने पर OS को फिर से install किया जाए.
- पहचानी गई सभी malicious websites और domains को Google Safe Browsing में जोड़ दिया गया है, और जिन Google accounts पर असर पड़ा हो सकता है उन्हें सरकारी समर्थन प्राप्त हमले की चेतावनी भेजी गई है.
- साथ ही, dbgsymbol, blgbeach, @Paul091_ सहित सभी malicious domains, files और accounts को भी सार्वजनिक किया गया है.
5 टिप्पणियां
लक्षित हमले भी डरावने हैं, लेकिन open source प्रोजेक्ट में malicious code डाला गया हिस्सा शायद और ज़्यादा सावधानी से देखने लायक है।
कहा गया है कि उस टूल का source code सामान्य था, लेकिन Github Release में शामिल फ़ाइलों में malicious code था।
GitHub stars भी 200 से ज़्यादा थे...
लगातार अचानक security न्यूज़ आ रही हैं। लगता है सबको security पर ध्यान देना चाहिए।
सोर्स कोड तो फिर भी शायद verify हो जाएगा, लेकिन यह नहीं सोचा था कि वह Release से अलग होगा। security का तो कोई अंत ही नहीं है..
यह भी एक तरह का supply chain attack लगता है।
संयोग से, ठीक 1 महीने पहले रिलीज़ हुए Go 1.21.0 के मामले में उन्होंने ब्लॉग पर एक पोस्ट डाली थी कि पहली बार उनके toolchain build artifacts पूरी तरह reproducible हैं। उस लेख के शुरुआती दो पैराग्राफ़ इस प्रकार हैं।
Perfectly Reproducible, Verified Go Toolchains
मैं सोच रहा था कि ऐसी चीज़ की चिंता क्यों की जा रही है, लेकिन लगता है कि लगभग 1 साल पहले से ही इस तरह के हमले गुप्त रूप से किए जा रहे थे। आह, दुनिया सचमुच कितनी भयावह होती जा रही है…
मैं भी GitHub पर code के साथ अपलोड की गई चीज़ों पर थोड़ा ज़्यादा भरोसा करता हूँ... लेकिन अब सावधान रहना पड़ेगा.
लगता है हमेशा code review करना और खुद build करना ही एकमात्र तरीका है...
HN थ्रेड का AI सारांश