xz अटैक शेल स्क्रिप्ट
- Andres Freund ने 29 मार्च 2024 को xz अटैक के अस्तित्व का खुलासा किया।
- अटैक दो हिस्सों में बंटा था: एक शेल स्क्रिप्ट और एक ऑब्जेक्ट फ़ाइल।
- शेल स्क्रिप्ट
make प्रक्रिया के दौरान ऑब्जेक्ट फ़ाइल को बिल्ड में जोड़ती है।
- दुर्भावनापूर्ण ऑब्जेक्ट फ़ाइल और शेल कोड को "test input" के रूप में छिपाकर compressed और encrypted रूप में जोड़ा गया था।
संरचना
- xz-utils, GNU autoconf का उपयोग करके सिस्टम के अनुरूप बिल्ड का तरीका तय करता है।
- हमलावर ने tarball distribution में एक अप्रत्याशित support library जोड़ी।
- इस support library में दुर्भावनापूर्ण कोड शामिल था।
संरचना पर फिर से नज़र
- हमलावर द्वारा जोड़ी गई support library खास patterns खोजकर संबंधित फ़ाइलों को सेट करती है।
- यह स्क्रिप्ट दुर्भावनापूर्ण फ़ाइलों को ढूंढती है और उन्हें चलाकर shell code inject करती है।
शेल स्क्रिप्ट का निष्पादन
- दुर्भावनापूर्ण शेल स्क्रिप्ट कई चरणों की जांच से गुजरकर केवल आवश्यक environment में ही चलती है।
- स्क्रिप्ट Makefile में कई पंक्तियाँ जोड़कर बिल्ड प्रक्रिया में दुर्भावनापूर्ण कोड डालती है।
GN⁺ की राय
- यह अटैक open source software की सुरक्षा कमजोरियों को उजागर करता है, और डेवलपर्स को code review तथा security audit के महत्व को समझना चाहिए।
- अटैक का तरीका software supply chain attack का एक उदाहरण है, और ऐसे हमलों को रोकने के लिए उपायों की आवश्यकता है।
- यह लेख डेवलपर्स को shell scripts और build systems की जटिलता का दुरुपयोग करने वाले हमलों के तरीकों को दिखाकर सतर्क कर सकता है।
- आलोचनात्मक दृष्टिकोण से देखें तो ऐसे हमले open source projects की विश्वसनीयता पर सवाल उठा सकते हैं।
- संबंधित क्षेत्र के ज्ञान के आधार पर, यह लेख software development और distribution process में security checks के महत्व पर ज़ोर देता है।
अभी कोई टिप्पणी नहीं है.