ओपन-सोर्स सुरक्षा: ‘विनाशकारी’ दुर्भावनापूर्ण पैकेज अपलोड करना बहुत आसान है, Google को चेतावनी देता है

ओपन-सोर्स सुरक्षा: ‘विनाशकारी’ दुर्भावनापूर्ण पैकेज अपलोड करना बहुत आसान है, Google को चेतावनी देता है

Google ने दुर्भावनापूर्ण कोड पैकेजों को खोजने के लिए किए गए कुछ कार्यों को विस्तृत किया है जो बड़े ओपन-सोर्स सॉफ़्टवेयर प्रोजेक्ट्स में घुस गए हैं।

पैकेज विश्लेषण परियोजना लिनक्स फाउंडेशन के ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) की सॉफ्टवेयर आपूर्ति श्रृंखला पहलों में से एक है जो लोकप्रिय पैकेज रिपॉजिटरी पर वितरित दुर्भावनापूर्ण पैकेजों की पहचान करने की प्रक्रिया को स्वचालित करने में मदद करनी चाहिए, जैसे कि जावास्क्रिप्ट के लिए एनपीएम और पायथन के लिए पीईपीएल। यह लोकप्रिय ओपन-सोर्स रिपॉजिटरी में अपलोड किए गए सभी पैकेजों का गतिशील विश्लेषण चलाता है। इसका उद्देश्य सामान्य प्रकार के दुर्भावनापूर्ण पैकेजों के बारे में डेटा प्रदान करना और ओपन-सोर्स सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा पर काम करने वालों को यह सूचित करना है कि इसे कैसे बेहतर बनाया जाए।

“मोबाइल ऐप स्टोर के विपरीत जो दुर्भावनापूर्ण योगदानों को स्कैन और अस्वीकार कर सकते हैं, पैकेज रिपॉजिटरी के पास हजारों दैनिक अपडेट की समीक्षा करने के लिए सीमित संसाधन हैं और उन्हें एक खुला मॉडल बनाए रखना चाहिए जहां कोई भी स्वतंत्र रूप से योगदान दे सके। परिणामस्वरूप, दुर्भावनापूर्ण पैकेज जैसे UA-पार्सर-jsऔर नोड-आईपीसी उपयोगकर्ताओं के लिए कभी-कभी विनाशकारी परिणामों के साथ, उनके सर्वोत्तम प्रयासों के बावजूद, लोकप्रिय रिपॉजिटरी में नियमित रूप से अपलोड किए जाते हैं,” Google की ओपन सोर्स सुरक्षा टीम के कालेब ब्राउन एक ब्लॉगपोस्ट में बताते हैं.

“आज निर्मित सभी सॉफ़्टवेयर में ओपन-सोर्स सॉफ़्टवेयर की आवश्यक भूमिका के बावजूद, बुरे अभिनेताओं के लिए दुर्भावनापूर्ण पैकेज प्रसारित करना बहुत आसान है जो सिस्टम और उस सॉफ़्टवेयर को चलाने वाले उपयोगकर्ताओं पर हमला करते हैं।”

देख: Google: कई हैकिंग समूह यूक्रेन में युद्ध का उपयोग फ़िशिंग प्रयासों में लालच के रूप में कर रहे हैं

पैकेज विश्लेषण परियोजना की पहचान की गई 200 से अधिक दुर्भावनापूर्ण पैकेज एक महीने में, OpenSFF के अनुसार। उदाहरण के लिए, यह PyPl और npm पर वितरित किए गए Discord उपयोगकर्ताओं पर टोकन चोरी के हमलों को पाया। उदाहरण के लिए, PyPl पैकेज “discordcmd”, GitHub से डाउनलोड किए गए पिछले दरवाजे के माध्यम से Discord Windows क्लाइंट पर हमला करता है और Discord टोकन को चुराने के लिए Discord ऐप पर इंस्टॉल किया जाता है।

हमलावर npm और PyPl पर दुर्भावनापूर्ण पैकेज वितरित करते हैं जो अक्सर इतना होता है कि यह कुछ OpenSSF है, जिसका Google सदस्य है, ने तय किया कि इसे संबोधित करने की आवश्यकता है।

मार्च में, शोधकर्ताओं ने npm पर सैकड़ों दुर्भावनापूर्ण पैकेज पाए, जिनका उपयोग Microsoft के Azure क्लाउड का उपयोग करके डेवलपर्स को लक्षित करने के लिए किया गया था, जिनमें से अधिकांश में टाइपोक्वाटिंग और निर्भरता भ्रम के हमले शामिल थे। दोनों प्रकार के सामाजिक-इंजीनियरिंग हमले हैं जो दोहराए जाने वाले चरणों का फायदा उठाते हैं जब डेवलपर्स अक्सर बड़ी संख्या में निर्भरताओं को अद्यतन करते हैं। निर्भरता भ्रम के हमले एक पैकेज के लिए असामान्य रूप से उच्च संस्करण संख्याओं पर निर्भर करते हैं जो वास्तव में कोई पिछला संस्करण उपलब्ध नहीं हो सकता है।

ओपनएसएसएफ का कहना है कि अधिकांश दुर्भावनापूर्ण पैकेजों का पता चला है जो निर्भरता-भ्रम और टाइपो-स्क्वाटिंग हमले थे। लेकिन परियोजना का मानना ​​​​है कि इनमें से अधिकतर बग बाउंटी में भाग लेने वाले सुरक्षा शोधकर्ताओं के काम की संभावना है।

“पाए गए पैकेज में आमतौर पर एक साधारण स्क्रिप्ट होती है जो इंस्टॉल के दौरान चलती है और होस्ट के बारे में कुछ विवरणों के साथ घर पर कॉल करती है। ये पैकेज बग बाउंटी की तलाश में सुरक्षा शोधकर्ताओं के काम की सबसे अधिक संभावना है, क्योंकि अधिकांश नाम के अलावा सार्थक डेटा नहीं निकाल रहे हैं मशीन या उपयोगकर्ता नाम, और वे अपने व्यवहार को छिपाने का कोई प्रयास नहीं करते हैं,” ओपनएसएसएफ और गूगल नोट.

ओपनएसएसएफ टिप्पणियाँ कि इनमें से कोई भी पैकेज “उन दुर्भाग्यपूर्ण पीड़ितों को चोट पहुँचाने के लिए कहीं अधिक कर सकता था जिन्होंने उन्हें स्थापित किया था, इसलिए पैकेज विश्लेषण इस प्रकार के हमलों के लिए एक प्रतिवाद प्रदान करता है।”

हाल ही में Log4j दोष ने खुले स्रोत में सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा के सामान्य जोखिमों पर प्रकाश डाला। घटक हजारों उद्यम अनुप्रयोगों में अंतर्निहित था और अमेरिकी सरकार द्वारा बड़े पैमाने पर और तत्काल सफाई को प्रेरित किया। Microsoft ने पिछले हफ्ते यूक्रेन पर सैन्य हमलों के सिलसिले में रूसी राज्य समर्थित हैकर्स द्वारा किए गए सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों की भूमिका पर भी प्रकाश डाला।

इस फरवरी में, Google और Microsoft ने आपूर्ति श्रृंखला सुरक्षा से निपटने के लिए OpenSSF के अल्फा-ओमेगा प्रोजेक्ट में $ 5 मिलियन का निवेश किया। अल्फा पक्ष सबसे महत्वपूर्ण ओपन-सोर्स प्रोजेक्ट्स के अनुरक्षकों के साथ काम करता है, जबकि ओमेगा पक्ष स्वचालित सुरक्षा विश्लेषण के लिए कम से कम 10,000 व्यापक रूप से तैनात ओपन-सोर्स प्रोग्राम का चयन करेगा।

]

LEAVE A REPLY

Please enter your comment!
Please enter your name here