GitHub-এ লক্ষ লক্ষ রেপো সম্ভাব্যভাবে হাইজ্যাকিংয়ের জন্য ঝুঁকিপূর্ণ

GitHub-এ লক্ষ লক্ষ এন্টারপ্রাইজ সফ্টওয়্যার সংগ্রহস্থলগুলি ঝুঁকিপূর্ণ রিপোজ্যাকিং, একটি অপেক্ষাকৃত সহজ ধরনের সফ্টওয়্যার সাপ্লাই চেইন আক্রমণ যেখানে একজন হুমকি অভিনেতা একটি নির্দিষ্ট রেপোর উপর নির্ভরশীল প্রকল্পগুলিকে দূষিত একটিতে পুনঃনির্দেশ করে।

অ্যাকোয়া সিকিউরিটির গবেষকরা এই সপ্তাহে একটি প্রতিবেদনে বলেছেন যে গিটহাব ব্যবহারকারী বা সংস্থা যখন কোনও প্রকল্পের নাম পরিবর্তন করে বা তার মালিকানা অন্য সত্তার কাছে হস্তান্তর করে তখন গিটহাব কীভাবে নির্ভরতা পরিচালনা করে তার সাথে এই সমস্যাটি জড়িত।

নাম পরিবর্তন ঝুঁকি

ব্রেকিং কোড নির্ভরতা এড়াতে, গিটহাব আসল রেপো নাম এবং নতুনটির মধ্যে একটি লিঙ্ক তৈরি করে যাতে মূল রেপোর উপর নির্ভরশীল সমস্ত প্রকল্পগুলি স্বয়ংক্রিয়ভাবে নতুন নামকরণে পুনঃনির্দেশিত হয়। যাইহোক, যদি কোনও সংস্থা পর্যাপ্তভাবে পুরানো ব্যবহারকারীর নাম রক্ষা করতে ব্যর্থ হয়, তাহলে একজন আক্রমণকারী মূল সংগ্রহস্থলের একটি ট্রোজানাইজড সংস্করণ তৈরি করতে এটিকে পুনরায় ব্যবহার করতে পারে যাতে রেপোর উপর নির্ভরশীল যে কোনও প্রকল্প আবার এটি থেকে নির্ভরতা ডাউনলোড করা শুরু করে।

"যখন একটি সংগ্রহস্থলের মালিক তাদের ব্যবহারকারীর নাম পরিবর্তন করেন, তখন পুরানো নাম এবং নতুন নামের মধ্যে একটি লিঙ্ক তৈরি করা হয় যারা পুরানো সংগ্রহস্থল থেকে নির্ভরতা ডাউনলোড করে।" একোয়া গবেষক ড এই সপ্তাহে একটি ব্লগে। "তবে, যে কারও পক্ষে পুরানো ব্যবহারকারীর নাম তৈরি করা এবং এই লিঙ্কটি ভেঙে ফেলা সম্ভব।"

Aqua-এর গবেষকরা সম্প্রতি GitHub-এ রিপোজিটরির ব্যাপকতা তদন্ত করার সিদ্ধান্ত নিয়েছেন যা এই ধরনের রিপোজ্যাকিং, বা নির্ভরতা সংগ্রহস্থল হাইজ্যাকিংয়ের জন্য ঝুঁকিপূর্ণ, কারণ কিছু নিরাপত্তা গবেষক হুমকির কথা উল্লেখ করেছেন।

ব্যাপকভাবে প্রচলিত ইস্যু

অ্যাকোয়া যা আবিষ্কার করেছিল তা দ্বিগুণ ছিল: লক্ষ লক্ষ এই ধরনের ভান্ডার — Google এবং Lyft-এর মতো কোম্পানিগুলির অন্তর্ভুক্ত — GitHub-এ উপস্থিত রয়েছে; এবং সরঞ্জামগুলি সহজেই আক্রমণকারীদের কাছে এই রেপোগুলি খুঁজে পেতে এবং হাইজ্যাক করার জন্য উপলব্ধ। এই টুলগুলির মধ্যে একটি হল GHTorrent, একটি প্রকল্প যা GitHub-এ সমস্ত পাবলিক ইভেন্ট যেমন কমিট এবং পুল অনুরোধের প্রায় সম্পূর্ণ রেকর্ড বজায় রাখে। আক্রমণকারীরা GHTorrent ব্যবহার করতে পারে গিটহাবের নাম সংগ্রহ করার জন্য যে সংস্থাগুলি আগে ব্যবহার করেছিল। তারপরে তারা সেই পুরানো ব্যবহারকারীর নামে রেপো নিবন্ধন করতে পারে, সংগ্রহস্থলটি পুনরায় তৈরি করতে পারে এবং এটি ব্যবহার করে এমন কোনও প্রকল্পে ম্যালওয়্যার সরবরাহ করতে পারে।

যেকোন প্রজেক্ট যা সরাসরি একটি GitHub রিপোজিটরির উল্লেখ করে তা ঝুঁকিপূর্ণ হয় যদি রিপোজিটরির মালিক তাদের রিপোজিটরির ব্যবহারকারীর নাম পরিবর্তন করে বা মুছে ফেলে।

অ্যাকোয়া নটিলাসের নিরাপত্তা গবেষক ইয়াকির কাদকোদা বলেছেন, "আমরা একটি উল্লেখযোগ্য ডেটাসেট উপস্থাপন করেছি যা আক্রমণকারীরা সংস্থাগুলির পূর্ববর্তী সংগ্রহস্থলগুলির নাম সংগ্রহ করতে ব্যবহার করতে পারে।"

"সংগঠনগুলিকে অনুমান করা উচিত নয় যে তাদের পুরানো সংস্থার নামগুলি অপ্রকাশিত থাকবে," কাদকোডা সতর্ক করে৷ "তাদের জন্য দাবি করা এবং GitHub-এ তাদের পুরানো ব্যবহারকারীর নাম রাখা এবং GitHub URL গুলি এবং তাদের কোডে রেফারেন্সগুলি স্ক্যান করা যেকোন সংগ্রহস্থলগুলি সনাক্ত করা গুরুত্বপূর্ণ যা আক্রমণকারীর দ্বারা সম্ভাব্যভাবে দাবি করা যেতে পারে।"

বাইপাস সুরক্ষা

Kadkoda বলেছেন GitHub পূর্বে মালিকানাধীন এবং এখন অন্যান্য প্রকল্পে পুনঃনির্দেশিত ব্যবহারকারীর নাম এবং সংগ্রহস্থল তৈরি করা প্রতিরোধ করে এই সমস্যাটি সমাধান করার চেষ্টা করেছে। গিটহাবও একটি মেকানিজম বাস্তবায়ন করেছে এই হুমকি প্রশমিত করার একটি উপায় হিসাবে জনপ্রিয় সংগ্রহস্থল নামস্থান অবসরের জন্য বেশ কয়েক বছর আগে। "তবে, গত কয়েক বছরে বেশ কয়েকটি বাইপাস আবিষ্কৃত হয়েছে," তিনি বলেছেন। Aqua এর গবেষণার সময়, এর গবেষকরা রিপোজিটরির বেশ কয়েকটি উদাহরণ খুঁজে পেয়েছেন যেখানে GitHub দ্বারা প্রয়োগ করা সুরক্ষা প্রযোজ্য হয়নি। "অতএব, ব্যবহারকারীরা এই মুহুর্তে এই প্রতিরক্ষার উপর পুরোপুরি নির্ভর করতে পারে না," তিনি বলেছেন।

Aqua এর ব্লগ একটি GitHub দুর্বলতা নির্দেশ করে যে চেকমার্কস গত বছর আবিষ্কৃত রিপোজ্যাকিং থেকে রক্ষা করার জন্য GitHub-এর প্রচেষ্টাকে বাইপাস করার জন্য আক্রমণকারীদের জন্য উপলব্ধ উপায়গুলির একটি উদাহরণ হিসাবে। ত্রুটিটি "জনপ্রিয় সংগ্রহস্থল নেমস্পেস অবসর" নামে একটি প্রক্রিয়া জড়িত এবং GitHub-এ সমস্ত পুনঃনামকৃত ব্যবহারকারীর নামগুলিকে প্রভাবিত করেছে, যার মধ্যে সুইফ্ট, প্যাকেজিস্ট এবং গো-এর মতো প্যাকেজ পরিচালকদের 10,000টিরও বেশি প্যাকেজ রয়েছে৷ “রিপোজ্যাকিং হল রিপোজ্যাকিং হল একটি কৌশল যা রিপোজিটরি ইউআরএল-এর ট্র্যাফিক হাইজ্যাক করে এবং এটিকে আক্রমণকারীর রিপোজিটরিতে রুট করে একটি যৌক্তিক ত্রুটিকে কাজে লাগিয়ে যা মূল পুনঃনির্দেশকে ভেঙে দেয়,” চেকমার্কস দুর্বলতার উপর একটি প্রতিবেদনে বলেছে৷ "একটি GitHub সংগ্রহস্থল রিপোজ্যাকিংয়ের জন্য দুর্বল হয় যখন এর নির্মাতা তার ব্যবহারকারীর নাম পরিবর্তন করার সিদ্ধান্ত নেন যখন পুরানো ব্যবহারকারীর নাম নিবন্ধনের জন্য উপলব্ধ থাকে।"

সংস্থাগুলি তাদের কোড, রিপোজিটরি এবং গিটহাব লিঙ্কগুলির জন্য নির্ভরতা স্ক্যান করে রিপোজ্যাকিং হুমকির সংস্পর্শকে প্রশমিত করতে পারে, কাডকোডা বলেছেন: “তাদের অবশ্যই পরীক্ষা করা উচিত যে এই লিঙ্কগুলি সরাসরি গিটহাব প্রকল্পগুলিকে নির্দেশ করে বা অন্য ব্যবহারকারীর নাম বা রেপোর অধীনে রিপোজিটরিগুলির দিকে নির্দেশ করে রিডাইরেক্ট আছে কিনা৷ আসল লিঙ্কের চেয়ে নাম।" এই দৃষ্টান্তগুলিতে, আক্রমণকারীদের তা করা থেকে বিরত রাখতে সংস্থাগুলির উপলব্ধ ব্যবহারকারীর নাম দাবি করার চেষ্টা করা উচিত৷ "অতিরিক্ত, সংস্থাগুলিকে সর্বদা গিটহাবে তাদের পুরানো ব্যবহারকারীর নামগুলি বজায় রাখা উচিত," তিনি বলেছেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/application-security/millions-of-repos-on-github-are-potentially-vulnerable-to-hijacking