खतरा पैदा करने वालों के एक अज्ञात समूह ने कोड पारिस्थितिकी तंत्र में दुर्भावनापूर्ण कोड डालने के लिए Top.gg GitHub संगठन के सदस्यों के साथ-साथ व्यक्तिगत डेवलपर्स पर एक परिष्कृत आपूर्ति श्रृंखला साइबर हमले का आयोजन किया।
हमलावरों ने डेवलपर्स से समझौता करने के लिए विश्वसनीय सॉफ्टवेयर विकास तत्वों में घुसपैठ की। उन्होंने चुराई गई कुकीज़ के साथ GitHub खातों को हाईजैक कर लिया, सत्यापित प्रतिबद्धताओं के माध्यम से दुर्भावनापूर्ण कोड का योगदान दिया, एक नकली पायथन मिरर स्थापित किया, और PyPi रजिस्ट्री पर दागी पैकेज जारी किए।
चेकमार्क्स में सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के प्रमुख जोसेफ हारुश कदौरी कहते हैं, "एकाधिक टीटीपी हमलावरों को परिष्कृत हमले करने, पहचान से बचने, सफल शोषण की संभावना बढ़ाने और रक्षा प्रयासों को जटिल बनाने में मदद करते हैं।"
चेकमार्क्स शोधकर्ताओं के एक ब्लॉग पोस्ट के अनुसार, हमलावरों ने उपयोगकर्ताओं को धोखा देने के लिए आधिकारिक से मिलते-जुलते नकली पायथन मिरर-डोमेन के साथ एक ठोस टाइपोसक्वाटिंग तकनीक का उपयोग किया।
Colorama जैसे लोकप्रिय पायथन पैकेजों के साथ छेड़छाड़ करके - जिसका उपयोग टेक्स्ट को फ़ॉर्मेट करने की प्रक्रिया को सरल बनाने के लिए 150 मिलियन से अधिक उपयोगकर्ताओं द्वारा किया जाता है - हमलावरों ने प्रतीत होता है कि वैध सॉफ़्टवेयर के भीतर दुर्भावनापूर्ण कोड छुपाया, GitHub रिपॉजिटरी से परे अपनी पहुंच का विस्तार किया।
उन्होंने दुर्भावनापूर्ण प्रतिबद्धताएं डालने और अपने कार्यों की विश्वसनीयता बढ़ाने के लिए उच्च-प्रतिष्ठित GitHub Top.gg खातों का भी फायदा उठाया। Top.gg 170,000 सदस्यों से बना है।
डेटा चोरी
हमले के अंतिम चरण में, धमकी देने वाले समूह द्वारा उपयोग किया जाने वाला मैलवेयर पीड़ित से संवेदनशील जानकारी चुरा लेता है। यह ओपेरा, क्रोम और एज जैसे वेब ब्राउज़र सहित लोकप्रिय उपयोगकर्ता प्लेटफार्मों को लक्षित कर सकता है - कुकीज़, ऑटोफिल डेटा और क्रेडेंशियल्स को लक्षित कर सकता है। मैलवेयर डिस्कॉर्ड खातों को भी नष्ट कर देता है और प्लेटफ़ॉर्म पर पीड़ित खातों तक अनधिकृत पहुंच प्राप्त करने के लिए डिक्रिप्टेड टोकन का दुरुपयोग करता है।
मैलवेयर पीड़ित के क्रिप्टोकरेंसी वॉलेट, टेलीग्राम सत्र डेटा और इंस्टाग्राम प्रोफ़ाइल जानकारी चुरा सकता है। बाद के परिदृश्य में, हमलावर अपने खाते के विवरण प्राप्त करने के लिए पीड़ित के सत्र टोकन का उपयोग करता है, कीस्ट्रोक्स को पकड़ने के लिए एक कीलॉगर को नियोजित करता है, संभावित रूप से पासवर्ड और व्यक्तिगत संदेशों से समझौता करता है।
इन व्यक्तिगत हमलों से चुराए गए डेटा को गुमनाम फ़ाइल-साझाकरण सेवाओं और HTTP अनुरोधों सहित विभिन्न तकनीकों का उपयोग करके हमलावर के सर्वर पर भेज दिया जाता है। हमलावर प्रत्येक पीड़ित को ट्रैक करने के लिए अद्वितीय पहचानकर्ताओं का उपयोग करते हैं।
पता लगाने से बचने के लिए, हमलावरों ने अपने कोड में व्हाइटस्पेस हेरफेर और भ्रामक चर नामों सहित जटिल अस्पष्ट तकनीकों का इस्तेमाल किया। उन्होंने दृढ़ता तंत्र स्थापित किए, सिस्टम रजिस्ट्रियों को संशोधित किया, और विभिन्न सॉफ्टवेयर अनुप्रयोगों में डेटा-चोरी संचालन को अंजाम दिया।
चेकमार्क्स के अनुसार, इन परिष्कृत युक्तियों के बावजूद, कुछ सतर्क टॉप.जीजी समुदाय के सदस्यों ने दुर्भावनापूर्ण गतिविधियों को देखा और इसकी रिपोर्ट की, जिसके कारण क्लाउडफ़ेयर ने दुर्व्यवहार वाले डोमेन को हटा दिया। फिर भी, चेकमार्क्स के कडौरी अभी भी खतरे को "सक्रिय" मानते हैं।
डेवलपर्स की सुरक्षा कैसे करें
आईटी सुरक्षा पेशेवरों को नियमित रूप से नए कोड प्रोजेक्ट योगदान की निगरानी और ऑडिट करना चाहिए और आपूर्ति श्रृंखला हमलों के जोखिमों पर डेवलपर्स के लिए शिक्षा और जागरूकता पर ध्यान केंद्रित करना चाहिए।
कडौरी कहते हैं, "हम प्रतिस्पर्धा को किनारे रखने और ओपन सोर्स इकोसिस्टम को हमलावरों से सुरक्षित बनाने के लिए मिलकर काम करने में विश्वास करते हैं।" "सॉफ़्टवेयर आपूर्ति-श्रृंखला के ख़तरे वाले अभिनेताओं पर बढ़त हासिल करने के लिए संसाधनों को साझा करना महत्वपूर्ण है।"
कडौरी के अनुसार, सॉफ़्टवेयर आपूर्ति-श्रृंखला पर हमले जारी रहने की उम्मीद है। "मेरा मानना है कि बिल्ड पाइपलाइनों और एआई और बड़े भाषा मॉडल में आपूर्ति श्रृंखला हमलों का विकास बढ़ने वाला है।"
हाल ही में, हगिंग फेस जैसे मशीन-लर्निंग मॉडल रिपॉजिटरी ने खतरनाक अभिनेताओं को अवसर प्रदान किए हैं विकास परिवेश में दुर्भावनापूर्ण कोड डालें, ओपन-सोर्स रिपॉजिटरी npm और PyPI के समान।
अन्य सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा मुद्दे हाल ही में उत्पन्न हुए हैं, जो JetBrains के क्लाउड संस्करणों को प्रभावित कर रहे हैं टीमसिटी सॉफ्टवेयर विकास मंच मैनेजर भी दुर्भावनापूर्ण कोड अद्यतन सितंबर में सैकड़ों GitHub रिपॉजिटरी में फिसल गया।
और कमजोर प्रमाणीकरण और पहुंच नियंत्रण ने ईरानी हैक्टिविस्टों को आचरण करने की अनुमति दी आपूर्ति श्रृंखला हमला इस महीने की शुरुआत में एक प्रौद्योगिकी प्रदाता के माध्यम से इज़राइली विश्वविद्यालयों पर।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
