GitHub में 1 लाख से अधिक संक्रमित repositories मिलीं

 (apiiro.com)
1 पॉइंट द्वारा GN⁺ 2024-03-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें

GitHub में 100,000 से अधिक संक्रमित repositories मिलीं

  • सुरक्षा शोध और डेटा साइंस टीम ने पता लगाया कि पिछले साल के मध्य में शुरू हुआ malicious repository confusion campaign बड़े पैमाने पर फिर से उभर आया है।
  • यह हमला तब 100,000 से अधिक GitHub repositories (और अनुमानतः लाखों) को प्रभावित करता है, जब developers ऐसे repositories का उपयोग करते हैं जो ज्ञात और भरोसेमंद repositories जैसी दिखती हैं, लेकिन वास्तव में उनमें malicious code होता है।

Repository confusion attack कैसे होता है?

  • repository confusion attack, dependency confusion attack की तरह, malicious actors इस तरह काम करते हैं कि target असली version की जगह malicious version डाउनलोड कर ले।
  • dependency confusion attack जहाँ package manager के काम करने के तरीके का फायदा उठाता है, वहीं repository confusion attack इस बात पर निर्भर करता है कि लोग गलती से असली version की जगह malicious version चुन लें, और कभी-कभी social engineering techniques का भी उपयोग किया जाता है।

जब malicious repository उपयोग की जाती है, तब क्या होता है

  • जब developers बिना शक किए malicious repository का उपयोग करते हैं, तो छिपा हुआ payload 7 चरणों की obfuscation हटाता है, और malicious Python code तथा उसके बाद binary executable files लाता है।
  • malicious code विभिन्न apps के login credentials, browser passwords और cookies, तथा अन्य confidential data इकट्ठा करके malicious actor के C&C server पर भेजता है और अतिरिक्त malicious गतिविधियाँ करता है।

GitHub में automation का प्रभाव

  • अधिकांश fork की गई repositories को GitHub जल्दी हटा देता है, लेकिन automated detection कई repositories को छोड़ देता है और manually uploaded repositories बची रहती हैं।
  • क्योंकि पूरी attack chain बड़े पैमाने पर अधिकतर automated है, इसलिए बची हुई 1% भी अब भी हजारों malicious repositories का मतलब है।

Campaign कब शुरू हुआ

  • मई 2023: Phylum की पहली रिपोर्ट के अनुसार, वर्तमान payload के शुरुआती हिस्से वाले कई malicious packages PyPI पर अपलोड किए गए।
  • जुलाई 2023 - अगस्त 2023: जब PyPI ने malicious packages हटा दिए और security community ने वहाँ अधिक ध्यान देना शुरू किया, तब कई malicious repositories GitHub पर अपलोड की गईं, जो इस बार PyPI packages लाने के बजाय सीधे payload deliver करती थीं।
  • नवंबर 2023 - वर्तमान: समान malicious payload रखने वाली 100,000 से अधिक repositories का पता लगाया गया है, और उनकी संख्या लगातार बढ़ रही है।

Package manager से source code management (SCM) की ओर malicious software का बदलाव

  • package manager और SCM platforms पर देखी गई कई घटनाओं से लगता है कि यह campaign PyPI के malicious packages से GitHub की malicious repositories की ओर शिफ्ट हुआ है, जो एक व्यापक trend को दर्शाता है।

Repository confusion से खुद को कैसे सुरक्षित रखें

  • GitHub को सूचित किए जाने के बाद अधिकांश malicious repositories हटा दी गईं, लेकिन campaign जारी है, और supply chain में malicious code inject करने वाले हमले लगातार अधिक आम होते जा रहे हैं।
  • Apiiro ने connected codebases को monitor करने वाला malware detection system बनाया है।
  • यह हमलों का पता लगाने के लिए कई advanced techniques का उपयोग करता है, जिनमें LLM-based code analysis, code को पूर्ण execution flow graph में तोड़ना, sophisticated heuristic engine, dynamic decoding, decryption, और deobfuscation शामिल हैं।

GN⁺ की राय

  • यह लेख developers को GitHub repositories का उपयोग करते समय सावधान रहने योग्य security threats के बारे में महत्वपूर्ण जानकारी देता है।
  • malicious code किस तरह software supply chain में घुसता है, इसे समझकर developers और security professionals अधिक मजबूत defense mechanisms बना सकते हैं।
  • ऐसे हमले इस बात को रेखांकित करते हैं कि developers की भरोसेमंद repositories चुनने की क्षमता के साथ-साथ CI/CD configuration की सटीकता और third-party code की security पर निर्भरता कितनी महत्वपूर्ण है।
  • आलोचनात्मक दृष्टि से देखें तो ऐसे हमले दिखाते हैं कि GitHub जैसे platforms के automated systems और बड़े पैमाने पर repositories की मौजूदगी दोधारी तलवार बन सकती है।
  • समान functionality देने वाले security tools में SonarQube, Snyk, WhiteSource आदि शामिल हैं, जो code vulnerabilities का पता लगाने और security मजबूत करने में मदद कर सकते हैं।
  • इस तकनीक को अपनाने से पहले संगठन की security policy के साथ compatibility, implementation cost, और team members की technical capability पर विचार करना चाहिए।
  • इस तकनीक को चुनने से security strengthening और risk reduction जैसे फायदे मिल सकते हैं, लेकिन संभावित नुकसान में नए system के लिए learning curve और management complexity शामिल हैं।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-03-01
Hacker News राय
  • सार्वजनिक repository से code लेते समय सावधानी बरतनी चाहिए, और dependency tree को verify करना महत्वपूर्ण है। इससे यह सवाल उठता है कि सार्वजनिक repository में मौजूद malware का language models (Large Language Models, LLMs) जैसे automation tools पर क्या असर पड़ सकता है। उदाहरण के लिए, GitHub Copilot जैसे tools coding सवालों के जवाब में गलती से malware शामिल कर सकते हैं।
  • यह बताया गया कि GitHub उसी तरह विफल हो रहा है जैसे Usenet विफल हुआ था। कोई भी GitHub पर repository बना सकता है, और official repository तथा spammers की repository में फर्क करने का कोई तरीका नहीं है। जब Amazon ने "सब कुछ बेचने वाली दुकान" बनने का लक्ष्य रखा, तब उसे इस समस्या का सामना करना पड़ा कि ज़्यादातर सामान कचरा था। GitHub को यह तय करना होगा कि वह "सबके लिए repository" है, या उसकी पहचान "क्या इस code पर भरोसा किया जा सकता है" के आधार पर होगी।
  • supply chain समस्या की गंभीरता पर चिंता जताई गई। npm release को target नहीं किया जाता, लेकिन project monitoring के लिए socket.dev का उपयोग किया जा रहा है। BrowserBox project लगभग 800 dependencies का उपयोग करता है, जिनमें से 19 top-level dependencies हैं। सभी dependencies को npm के @browserbox namespace में snapshot करके vulnerabilities को track और patch करने के तरीके पर विचार किया जा रहा है।
  • इस बात पर ज़ोर दिया गया कि developers को काम, hobby और personal use के लिए कम-से-कम तीन environment अलग रखने चाहिए। भरोसेमंद repository और owner होने पर भी sandbox virtual machine में code चलाना समझदारी है।
  • अगर कोई छोटा team बहुत अधिक साप्ताहिक downloads पाने वाला SDK विकसित कर रहा है, तो snyk, aikido.dev, renovate-आधारित solutions आदि का मूल्यांकन किया जा रहा है। यह स्पष्ट नहीं है कि ये tools समस्या हल करने में मदद करेंगे या नहीं, और snyk के साथ अनुभव की तरह बहुत सारे false positives को संभालना मुश्किल है।
  • यह जिज्ञासा व्यक्त की गई कि क्या curl और sudo का उपयोग करने वाला shell script installation तरीका जल्द खत्म हो जाएगा। यह तरीका लेख में बताए गए संक्रमित software से काफ़ी निकटता से जुड़ा है।
  • npm में --ignore-scripts option का उपयोग करके malware execution को रोका जा सकता है।
  • यह उल्लेख किया गया कि एक साल से भी कम समय पहले trojan horse virus वाली repositories मौजूद थीं।
  • सुरक्षा मुद्दों पर एक नई post का LLM startup को fund करने वाले विज्ञापन में बदल जाना आलोचना का विषय बना। कहा गया कि ऐसे startup सुरक्षा gap के केवल कुछ हिस्सों को ही संबोधित कर सकते हैं, और कई startup के साथ contract करने से cost और integration की समस्याएँ पैदा हो सकती हैं।
  • लगातार सुरक्षा रिपोर्टों के आधार पर development environment की security को धीरे-धीरे बेहतर बनाया जा रहा है। VSCode dev containers, GitHub Codespaces, OWASP guidelines पढ़ना, और socket.dev से npm/Python packages review करना जैसी कोशिशें की जा रही हैं।