- चल रहा हमला NPM (Node Package Manager) रिपॉजिटरी में सैकड़ों malicious packages अपलोड करके उन code libraries पर निर्भर डेवलपर डिवाइसेज़ को संक्रमित करने की कोशिश कर रहा है
- malicious packages के नाम Puppeteer, Bignum.js जैसी वैध code libraries और विभिन्न cryptocurrency libraries से मिलते-जुलते हैं
- यह campaign इस लेख के प्रकाशित होने के समय भी सक्रिय था, और इसे security company Phylum ने खोजा
supply chain attacks से सावधान रहना चाहिए
- malware बनाने वालों को अपनी मंशा छिपाने और अपने नियंत्रण वाले remote servers को obfuscate करने के नए तरीके तलाशने पड़े
- यह लगातार मिल रही चेतावनी है कि supply chain attacks अभी भी सक्रिय रूप से जारी हैं
- इंस्टॉल किए गए malicious packages उस IP address को छिपाने के लिए एक नया तरीका इस्तेमाल करते हैं, जिससे वे malicious second-stage malware payload प्राप्त करने के लिए कनेक्ट होते हैं
- stage 1 code में IP address बिल्कुल दिखाई नहीं देता। इसके बजाय यह Ethereum smart contract को access करता है और Ethereum mainnet के एक खास contract address से जुड़ी string (IP address) लाता है
- Phylum द्वारा विश्लेषित package में मिला IP address hxxp://193.233.201[.]21:3001 था
- Ethereum blockchain पर data स्टोर करने से हमलावर द्वारा पहले इस्तेमाल किए गए IP addresses को देखा जा सकता है
- Ethereum अब तक देखे गए सभी values में बदलाव न किए जा सकने वाला रिकॉर्ड स्टोर करता है
- इसलिए इस threat actor द्वारा इस्तेमाल किए गए सभी IP addresses देखे जा सकते हैं
- malicious packages Vercel package के रूप में इंस्टॉल होते हैं और memory में execute किए जाते हैं
- payload को हर reboot पर load होने के लिए सेट किया जाता है और यह Ethereum contract के IP address से कनेक्ट होता है
- यह अतिरिक्त Javascript files लाने के लिए कई requests करता है और फिर उसी request server पर system information वापस post करता है
- इस information में GPU, CPU, मशीन की memory की मात्रा, username और OS version की जानकारी शामिल होती है
- typo का फायदा उठाने वाले हमले व्यापक रूप से इस्तेमाल किए जाते हैं
- यह हमला typosquatting पर निर्भर करता है, जिसमें वैध packages से बेहद मिलते-जुलते लेकिन कुछ अक्षरों से अलग नाम इस्तेमाल किए जाते हैं
- पिछले 5 वर्षों से typosquatting का इस्तेमाल डेवलपर्स को malicious code libraries डाउनलोड करने के लिए धोखा देने में किया जाता रहा है
- डेवलपर्स को डाउनलोड किए गए package को चलाने से पहले उसका नाम हमेशा दोबारा जांच लेना चाहिए
8 टिप्पणियां
अगर आप smart contract इस्तेमाल कर रहे हैं, तो शायद साथ में हमला करके हैकर का gas भी खत्म कराया जा सकता है, हाहाहा
आखिरकार वही coin मुसीबत की जड़ है
काश Nix-store में कोई malware scanner होता, मुझे ढूँढना पड़ेगा। डेवलपर्स सब nix पर शिफ्ट हो जाओ। सारी digital assets को पूरी तरह freeze करके ऐसा कर देना चाहिए कि कोई उन्हें छू न सके। और सरकार को भी कोई RAG AI बनाकर कंपनियों में बाँटना चाहिए, ये कब करेंगे? फ़ाइटिंग। यह development environment Southeast Asia से भी बदतर है, यह कब खत्म होगा?
आप किस कंपनी में काम करते हैं कि आपका डेवलपमेंट एनवायरनमेंट दक्षिण-पूर्व एशिया से भी बदतर है...
आपका मतलब यह है कि यह कंपनी की समस्या नहीं, बल्कि राष्ट्रीय नीति से जुड़ी समस्या है।
npm में यह समस्या कभी-न-कभी बार-बार सामने आती रहती है, लेकिन क्या दूसरी भाषाओं के package repositories में भी ऐसी समस्या होती है?
उदाहरण के लिए, क्या package manager की default setting
allow-net=falseयाignore-scripts=trueहोने की वजह से वे ज़्यादा सुरक्षित हैं, या वहाँ भी स्थिति कुछ ऐसी ही है..Npm बहुत इस्तेमाल होता है, इसलिए यह ज़्यादा नज़र में आता है
दूसरी भाषाओं के package repository भी सब ऐसे ही हैं।
ऐसे टूल जो remote से library को अपने-आप fetch करके इस्तेमाल करते हैं, जैसे cargo, alire, maven आदि, क्या वे सब भी लगभग इसी तरह के ख़तरे के संपर्क में नहीं हैं?