হুমকি অভিনেতাদের একটি অজ্ঞাত গোষ্ঠী Top.gg GitHub সংস্থার সদস্যদের পাশাপাশি পৃথক ডেভেলপারদের উপর একটি অত্যাধুনিক সাপ্লাই চেইন সাইবার আক্রমণ করেছে যাতে কোড ইকোসিস্টেমে দূষিত কোড ইনজেক্ট করা যায়।
আক্রমণকারীরা ডেভেলপারদের সাথে আপস করার জন্য বিশ্বস্ত সফ্টওয়্যার বিকাশের উপাদানগুলির অনুপ্রবেশ করেছিল। তারা চুরি করা কুকিজ সহ গিটহাব অ্যাকাউন্টগুলি হাইজ্যাক করেছে, যাচাইকৃত কমিটের মাধ্যমে ক্ষতিকারক কোড অবদান রেখেছে, একটি নকল পাইথন মিরর স্থাপন করেছে এবং PyPi রেজিস্ট্রিতে কলঙ্কিত প্যাকেজগুলি প্রকাশ করেছে।
"একাধিক টিটিপি আক্রমণকারীদের অত্যাধুনিক আক্রমণ তৈরি করতে, সনাক্তকরণ এড়াতে, সফল শোষণের সম্ভাবনা বাড়াতে এবং প্রতিরক্ষা প্রচেষ্টাকে জটিল করতে সাহায্য করে," চেকমার্কের সফ্টওয়্যার সরবরাহ চেইন নিরাপত্তার প্রধান জোসেফ হারুশ কাদৌরি বলেছেন৷
চেকমার্কস গবেষকদের একটি ব্লগ পোস্ট অনুসারে আক্রমণকারীরা ব্যবহারকারীদের প্রতারিত করার জন্য একটি নকল পাইথন মিরর-ডোমেনের সাথে একটি বিশ্বাসযোগ্য টাইপোসক্যাটিং কৌশল ব্যবহার করেছিল।
Colorama-এর মতো জনপ্রিয় পাইথন প্যাকেজগুলির সাথে টেম্পারিং করে - যা 150 মিলিয়নেরও বেশি ব্যবহারকারীদের দ্বারা পাঠ্য ফর্ম্যাট করার প্রক্রিয়া সহজ করার জন্য ব্যবহৃত হয় - আক্রমণকারীরা আপাতদৃষ্টিতে বৈধ সফ্টওয়্যারের মধ্যে দূষিত কোড লুকিয়েছিল, GitHub সংগ্রহস্থলের বাইরে তাদের নাগাল প্রসারিত করেছিল।
তারা দূষিত প্রতিশ্রুতি সন্নিবেশ করতে এবং তাদের কর্মের বিশ্বাসযোগ্যতা বাড়াতে উচ্চ-খ্যাতিসম্পন্ন GitHub Top.gg অ্যাকাউন্টগুলিকেও কাজে লাগায়৷ Top.gg 170,000 সদস্য নিয়ে গঠিত।
ডেটা চুরি
আক্রমণের চূড়ান্ত পর্যায়ে, হুমকি গ্রুপ দ্বারা ব্যবহৃত ম্যালওয়্যার শিকারের কাছ থেকে সংবেদনশীল তথ্য চুরি করে। এটি অপেরা, ক্রোম এবং এজ-এর মতো ওয়েব ব্রাউজার সহ জনপ্রিয় ব্যবহারকারী প্ল্যাটফর্মগুলিকে টার্গেট করতে পারে — কুকিজ, অটোফিল ডেটা এবং শংসাপত্রগুলিকে লক্ষ্য করে৷ ম্যালওয়্যারটি ডিসকর্ড অ্যাকাউন্টগুলিকে রুট করে দেয় এবং প্ল্যাটফর্মে শিকার অ্যাকাউন্টগুলিতে অননুমোদিত অ্যাক্সেস পেতে ডিক্রিপ্ট করা টোকেনগুলি অপব্যবহার করে।
ম্যালওয়্যারটি শিকারের ক্রিপ্টোকারেন্সি ওয়ালেট, টেলিগ্রাম সেশন ডেটা এবং ইনস্টাগ্রাম প্রোফাইল তথ্য চুরি করতে পারে। পরবর্তী পরিস্থিতিতে, আক্রমণকারী তাদের অ্যাকাউন্টের বিশদ পুনরুদ্ধার করতে শিকারের সেশন টোকেন ব্যবহার করে, কীস্ট্রোক ক্যাপচার করার জন্য একটি কীলগার নিয়োগ করে, সম্ভাব্য পাসওয়ার্ড এবং ব্যক্তিগত বার্তাগুলি আপোস করে।
এই স্বতন্ত্র আক্রমণ থেকে চুরি হওয়া ডেটা তারপরে বেনামী ফাইল-শেয়ারিং পরিষেবা এবং HTTP অনুরোধ সহ বিভিন্ন কৌশল ব্যবহার করে আক্রমণকারীর সার্ভারে এক্সফিল্ট করা হয়। আক্রমণকারীরা প্রতিটি শিকারকে ট্র্যাক করতে অনন্য শনাক্তকারী ব্যবহার করে।
সনাক্তকরণ এড়াতে, আক্রমণকারীরা তাদের কোডে হোয়াইটস্পেস ম্যানিপুলেশন এবং বিভ্রান্তিকর পরিবর্তনশীল নাম সহ জটিল অস্পষ্টকরণ কৌশল নিযুক্ত করেছিল। তারা অধ্যবসায় প্রক্রিয়া, পরিবর্তিত সিস্টেম রেজিস্ট্রি, এবং বিভিন্ন সফ্টওয়্যার অ্যাপ্লিকেশন জুড়ে ডেটা চুরির ক্রিয়াকলাপগুলি প্রতিষ্ঠা করেছে।
এই অত্যাধুনিক কৌশল থাকা সত্ত্বেও, কিছু সতর্ক Top.gg সম্প্রদায়ের সদস্যরা দূষিত কার্যকলাপগুলি লক্ষ্য করেছেন এবং এটি রিপোর্ট করেছেন, যার ফলে ক্লাউডফ্লেয়ার অপব্যবহার করা ডোমেনগুলিকে সরিয়ে নিয়েছে, চেকমার্কস অনুসারে। তা সত্ত্বেও, চেকমার্কসের কাদৌরি এখনও হুমকিটিকে "সক্রিয়" হিসাবে বিবেচনা করে।
কীভাবে বিকাশকারীদের রক্ষা করবেন
আইটি নিরাপত্তা পেশাদারদের নিয়মিত নতুন কোড প্রকল্পের অবদানের নিরীক্ষণ এবং নিরীক্ষণ করা উচিত এবং সরবরাহ চেইন আক্রমণের ঝুঁকি সম্পর্কে বিকাশকারীদের জন্য শিক্ষা এবং সচেতনতার উপর ফোকাস করা উচিত।
"আমরা প্রতিযোগিতাকে একপাশে রেখে ওপেন সোর্স ইকোসিস্টেমকে আক্রমণকারীদের থেকে নিরাপদ করতে একসাথে কাজ করতে বিশ্বাস করি," বলেছেন কাদৌরি৷ "সফ্টওয়্যার সাপ্লাই-চেইন হুমকি অভিনেতাদের উপর একটি প্রান্ত থাকার জন্য সম্পদ ভাগ করা গুরুত্বপূর্ণ।"
কাদৌরির মতে সফ্টওয়্যার সাপ্লাই-চেইন আক্রমণ অব্যাহত থাকবে বলে আশা করুন। "আমি বিশ্বাস করি যে বিল্ড পাইপলাইন এবং এআই এবং বড় ভাষার মডেলগুলিতে সরবরাহ চেইন আক্রমণের বিবর্তন বৃদ্ধি পাবে।"
সম্প্রতি, মেশিন-লার্নিং মডেল ভান্ডার যেমন হাগিং ফেস হুমকি অভিনেতাদের সুযোগ দিয়েছে ডেভেলপমেন্ট এনভায়রনমেন্টে দূষিত কোড ইনজেক্ট করুন, ওপেন সোর্স রিপোজিটরি npm এবং PyPI-এর অনুরূপ।
অন্যান্য সফ্টওয়্যার সরবরাহ শৃঙ্খল সুরক্ষা সমস্যাগুলি সম্প্রতি জেটব্রেইনের ক্লাউড সংস্করণগুলিকে প্রভাবিত করে টিমসিটি সফটওয়্যার ডেভেলপমেন্ট প্ল্যাটফর্ম পাশাপাশি ম্যানেজার দূষিত কোড আপডেট সেপ্টেম্বরে শত শত গিটহাব রিপোজিটরিতে চলে গেছে।
এবং দুর্বল প্রমাণীকরণ এবং অ্যাক্সেস নিয়ন্ত্রণ ইরানি হ্যাকটিভিস্টদের একটি পরিচালনা করতে দেয় সরবরাহ চেইন আক্রমণ এই মাসের শুরুর দিকে একটি প্রযুক্তি প্রদানকারীর মাধ্যমে ইসরায়েলি বিশ্ববিদ্যালয়গুলিতে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
