पिछले 6 महीनों में नए रजिस्टर किए गए NPM पैकेजों में से 70% स्पैम थे

 (blog.phylum.io)
6 पॉइंट द्वारा GN⁺ 2024-08-09 | 1 टिप्पणियां | WhatsApp पर शेयर करें

npm में बड़े पैमाने पर स्पैम पैकेज की समस्या

  • Phylum रिसर्च टीम ने पाया कि Tea Protocol से जुड़े स्पैम पैकेज npm में तेजी से बढ़ रहे हैं
  • Tea Protocol एक ऐसा सिस्टम है जो open source योगदानों के लिए cryptocurrency में इनाम देता है, और यह डेवलपर्स को अपने योगदान को बढ़ा-चढ़ाकर दिखाने के लिए प्रेरित करता है
  • अनुमान है कि 2024 की दूसरी तिमाही के दौरान npm पर प्रकाशित पैकेजों में लगभग 25% Tea Protocol से जुड़े स्पैम पैकेज थे

संक्षिप्त सार

  • Tea Protocol एक ऐसा algorithm इस्तेमाल करता है जो डेवलपर्स को अपने योगदान को बढ़ा-चढ़ाकर दिखाने के लिए प्रेरित करता है
  • इन स्पैम पैकेजों की वजह से npm गंभीर रूप से प्रदूषित हो रहा है
  • स्पैम पैकेजों की पहचान हैं: बेतरतीब तरीके से बनाए गए पैकेज नाम, संदिग्ध dependency सूची, और tea.yaml फ़ाइल

नया दृष्टिकोण

  • 2024 की शुरुआत से npm पर प्रकाशित पैकेजों की संख्या में तेज़ बढ़ोतरी हुई है
  • 8 अप्रैल 2024 को एक ही दिन में 48,000 से अधिक पैकेज प्रकाशित किए गए
  • Q2 के दौरान प्रकाशित npm पैकेजों में 21.25% से 25.5% तक स्पैम पैकेज होने का अनुमान है
  • यदि दायरा केवल नए पैकेजों तक सीमित किया जाए, तो स्पैम पैकेजों का अनुपात 68.66% से 74.67% तक बढ़ जाता है

क्या इसमें खतरा है?

  • अभी तक इस बात का कोई प्रमाण नहीं है कि इन स्पैम पैकेजों में दुर्भावनापूर्ण हमला शामिल है
  • लेकिन यह स्पैम open source ecosystem को प्रदूषित कर सकता है और AI models के training data को विकृत कर सकता है
  • साथ ही, यह ऐसा माहौल बनाता है जिसमें असली malicious पैकेज छिप सकते हैं

विरोधी के दृष्टिकोण से सोचना

  • sournoise पैकेज को उदाहरण के रूप में लें: npm वेबसाइट दिखाती है कि यह पैकेज axios पर निर्भर है, लेकिन वास्तव में यह स्पैम पैकेजों पर निर्भर है
  • यह इस बात का एक साइड इफेक्ट है कि npm dependencies को कैसे प्रोसेस करता है और उपयोगकर्ताओं को कैसे दिखाता है
  • transitive dependency के कारण ऐसे पैकेज शामिल हो सकते हैं जिन्हें डेवलपर न चाहते हों या जिनकी उन्होंने अपेक्षा न की हो

निष्कर्ष

  • open source software ecosystem का प्रदूषण सभी के लिए समस्या है
  • Tea Protocol प्रोजेक्ट इस समस्या को हल करने के लिए कदम उठा रहा है
  • npm भी कुछ स्पैम पैकेज हटा रहा है, लेकिन नए प्रकाशनों की गति का साथ नहीं दे पा रहा है
  • यह समस्या केवल npm तक सीमित नहीं है; Rubygems में भी इसी तरह के स्पैम पैकेज मिले हैं
  • Phylum इस क्षेत्र का सक्रिय रूप से अध्ययन कर रहा है और जैसे-जैसे ये actor अपनी रणनीतियाँ बदलते हैं, वैसे-वैसे इस स्पैम का पता लगाने के नए तरीके खोजेगा

GN⁺ का सार

  • Tea Protocol की reward system डेवलपर्स को अपने योगदान को बढ़ा-चढ़ाकर दिखाने के लिए प्रेरित करती है
  • open source sustainability के लिए इस प्रोजेक्ट का इरादा अच्छा रहा होगा, लेकिन लगता है कि इसके दुष्प्रभावों और दुरुपयोग के मामलों को नज़रअंदाज़ किया गया। contribution measurement और reward structure के लिए सावधानीपूर्वक design और निरंतर monitoring की ज़रूरत दिखती है
  • इस तरह के बड़े पैमाने पर स्पैम पैकेजों की बाढ़ केवल अलग-अलग पैकेजों की सुरक्षा का मुद्दा नहीं है, बल्कि पूरे open source ecosystem की विश्वसनीयता और स्वस्थता को खतरे में डाल सकती है। बुनियादी समाधान के लिए ecosystem-स्तर के दृष्टिकोण और सहयोग की आवश्यकता दिखती है
  • AI model training data के रूप में उपयोग होने पर bias की समस्या पैदा हो सकती है, यह बेहद चिंताजनक है। data quality management और validation के लिए guidelines बनाना बेहद ज़रूरी लगता है
  • transitive dependency के ज़रिए अनपेक्षित पैकेज इंस्टॉल होने की संभावना डेवलपर्स को सतर्क करने के लिए पर्याप्त है। यह automated dependency management tools की ज़रूरत के साथ-साथ यह भी दिखाता है कि पैकेज चुनते समय डेवलपर्स की सावधानी और समीक्षा अब भी महत्वपूर्ण है
  • दीर्घकालिक दृष्टिकोण से blockchain-आधारित package registry या reputation system जैसे अधिक पारदर्शी और सत्यापनयोग्य विकल्पों की तलाश की जानी चाहिए

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-08-09
Hacker News की राय

  • npm में package dependency को handle करने का तरीका समस्या है

    • अगर package.json में सिर्फ key मौजूद हो, तो उसे असली package से संबंध न होने पर भी dependency माना जाता है
    • इससे dependency ecosystem और अधिक कमजोर हो जाता है

  • tea.yaml इस्तेमाल करने वाले सभी packages को हटाना ज़रूरी है

    • tea protocol दुर्भावनापूर्ण व्यवहार को बढ़ावा दे रहा है
    • यह system को नुकसान पहुँचा रहा है

  • spam accounts को स्थायी रूप से block करके हटाया जाना चाहिए

    • उदाहरण के लिए, एक account है जिसमें 1781 बेकार packages हैं
    • report करने की प्रक्रिया जटिल और झंझटभरी है

  • spam packages की वजह से AI models के विकृत होने की संभावना है

    • "garbage in, garbage out" सिद्धांत यहाँ लागू होता है

  • Tea protocol का incentive model समस्या है

    • यह developers को npm पर spam डालने के लिए उकसाता है
    • यह ecosystem को नुकसान पहुँचाता है

  • सारांश:

    • cryptocurrency-आधारित OSS development funding scheme spam को बढ़ावा देती है
    • package.json के ज़रिए dependency के बारे में भ्रम पैदा करना आसान है

  • Tea protocol का लक्ष्य open source software economy को मजबूत करना है

    • लेकिन इसका incentive model गलत तरीके से बना है और spam को बढ़ावा देता है
    • "cobra effect" और "Goodhart's law" यहाँ लागू होते हैं

  • लोकप्रिय projects को कॉपी करके उन्हें random Latin नामों के साथ npm पर publish करने के मामले हैं

    • ऐसे मामलों में सैकड़ों spam reports जमा की गई हैं

  • Tea जैसे मिलते-जुलते projects पहले भी रहे हैं

    • project के fail होने और funding खत्म होने तक हर महीने थोड़ा-सा Bitcoin मिलता था

  • package managers के पास rating system होता है

    • spam packages का AI पर असर पड़ने की संभावना कम है
    • भरोसेमंद कंपनियाँ spam packages का उपयोग नहीं करतीं