পাইথন প্যাকেজ ইনডেক্স (PyPI) এর অ্যাডমিনিস্ট্রেটররা রেজিস্ট্রি থেকে 10টি দূষিত সফ্টওয়্যার কোড প্যাকেজ সরিয়ে দিয়েছে যখন একটি নিরাপত্তা বিক্রেতা তাদের সমস্যা সম্পর্কে অবহিত করেছে।
ঘটনাটি সাম্প্রতিক দৃষ্টান্তগুলির একটি দ্রুত ক্রমবর্ধমান তালিকার সর্বশেষতম যেখানে হুমকি অভিনেতারা একাধিক সংস্থার সাথে আপস করার লক্ষ্যে PyPI, নোড প্যাকেজ ম্যানেজার (npm) এবং Maven Central এর মতো বহুল ব্যবহৃত সফ্টওয়্যার সংগ্রহস্থলে দুর্বৃত্ত সফ্টওয়্যার স্থাপন করেছে। নিরাপত্তা বিশ্লেষকরা এই প্রবণতাটিকে উল্লেখযোগ্যভাবে বর্ণনা করেছেন যে পাবলিক রেজিস্ট্রিগুলি থেকে তৃতীয় পক্ষ এবং ওপেন সোর্স কোড ডাউনলোড করার সময় ডেভেলপমেন্ট টিমের যথাযথ অধ্যবসায় অনুশীলন করার প্রয়োজনীয়তা বৃদ্ধি করে৷
Check Point's Spectralops.io-এর গবেষকরা PyPI-তে দূষিত প্যাকেজের এই সর্বশেষ সেটটি উন্মোচন করেছেন, এবং সেগুলিকে তথ্য চুরিকারী ম্যালওয়্যারের জন্য ড্রপার হিসাবে খুঁজে পেয়েছেন। প্যাকেজগুলিকে বৈধ কোডের মতো দেখতে ডিজাইন করা হয়েছিল — এবং কিছু ক্ষেত্রে PyPI-তে অন্যান্য জনপ্রিয় প্যাকেজগুলি নকল করা হয়েছে৷
ইনস্টলেশন স্ক্রিপ্টে ক্ষতিকারক কোড
চেক পয়েন্ট গবেষকরা আবিষ্কার করেছেন যে হুমকি অভিনেতা যারা রেজিস্ট্রিতে ম্যালওয়্যার স্থাপন করেছিল তারা দূষিত কোড এম্বেড করেছে প্যাকেজ ইনস্টলেশন স্ক্রিপ্ট. সুতরাং, যখন একজন ডেভেলপার "পিপ" ইন্সটল কমান্ড ব্যবহার করে যেকোন দুর্বৃত্ত প্যাকেজ ইনস্টল করার জন্য, ক্ষতিকারক কোডটি ব্যবহারকারীর মেশিনে অলক্ষ্যে চলে যাবে এবং ম্যালওয়্যার ড্রপার ইনস্টল করবে।
উদাহরণ স্বরূপ, "Ascii2text" নামক জাল প্যাকেজগুলির মধ্যে একটিতে ইনস্টলেশন স্ক্রিপ্ট (setup.py) দ্বারা আমদানি করা একটি ফাইল (_init_.py) এ ক্ষতিকারক কোড রয়েছে৷ যখন একজন বিকাশকারী প্যাকেজটি ইনস্টল করার চেষ্টা করে, তখন কোডটি একটি স্ক্রিপ্ট ডাউনলোড এবং কার্যকর করবে যা স্থানীয় পাসওয়ার্ডগুলি অনুসন্ধান করে, যা এটি একটি ডিসকর্ড সার্ভারে আপলোড করে। চেক পয়েন্ট অনুসারে, ক্ষতিকারক প্যাকেজটি একই নাম এবং বর্ণনার একটি জনপ্রিয় আর্ট প্যাকেজের মতো দেখতে ডিজাইন করা হয়েছিল।
10টি দুর্বৃত্ত প্যাকেজের মধ্যে তিনটি (Pyg-utils, Pymocks, এবং PyProto2) একই হুমকি অভিনেতা দ্বারা তৈরি করা হয়েছে বলে মনে হচ্ছে যা সম্প্রতি ম্যালওয়্যার মোতায়েন করেছে AWS শংসাপত্র চুরি করা PyPI তে। setup.py ইনস্টলেশন প্রক্রিয়া চলাকালীন, Py-Utils উদাহরণস্বরূপ একই ক্ষতিকারক ডোমেনের সাথে সংযুক্ত থাকে যা AWS শংসাপত্র-চুরির প্রচারে ব্যবহৃত হয়৷ যদিও Pymocks এবং PyProto2 ইনস্টলেশন প্রক্রিয়া চলাকালীন একটি ভিন্ন ক্ষতিকারক ডোমেনের সাথে সংযুক্ত ছিল, তাদের কোড Pyg-utils-এর কাছাকাছি ছিল, যা চেক পয়েন্টকে বিশ্বাস করে যে একই লেখক তিনটি প্যাকেজ তৈরি করেছেন।
অন্যান্য প্যাকেজগুলির মধ্যে রয়েছে টেস্ট-অ্যাসিঙ্ক নামে একটি সম্ভাব্য ম্যালওয়্যার-ডাউনলোডার যা পরীক্ষার কোডের জন্য একটি প্যাকেজ হতে পারে; setup.py ইনস্টলেশন প্রক্রিয়া চলাকালীন ব্যবহারকারীর শংসাপত্র চুরি করার জন্য WINRPCexploit নামে পরিচিত একটি; এবং পরিবেশের ভেরিয়েবল চুরি করার জন্য দুটি প্যাকেজ (ফ্রি-নেট-ভিপিএন এবং ফ্রি-নেট-ভিপিএন2)।
"এটি অপরিহার্য যে ডেভেলপাররা তাদের ক্রিয়াকলাপগুলিকে সুরক্ষিত রাখে, ব্যবহারের প্রতিটি সফ্টওয়্যার উপাদানগুলিকে দুবার পরীক্ষা করে এবং বিশেষত যেমন বিভিন্ন সংগ্রহস্থল থেকে ডাউনলোড করা হয়," চেক পয়েন্ট সতর্ক করে৷
PyPI রেজিস্ট্রিতে দূষিত প্যাকেজগুলি কতক্ষণ ধরে পাওয়া যেতে পারে বা কতজন লোক সেগুলি ডাউনলোড করেছে জানতে চাইলে নিরাপত্তা বিক্রেতা তাৎক্ষণিকভাবে প্রতিক্রিয়া জানায়নি।
ক্রমবর্ধমান সাপ্লাই চেইন এক্সপোজার
ঘটনাটি সঠিক যাচাই ছাড়াই পাবলিক রিপোজিটরি থেকে তৃতীয় পক্ষের কোড ডাউনলোড করার ক্রমবর্ধমান বিপদগুলি তুলে ধরার সর্বশেষ ঘটনা।
মাত্র গত সপ্তাহে, সোনাটাইপ আবিষ্কারের খবর দিয়েছে ransomware ধারণকারী তিনটি প্যাকেজ যে ইতালির স্কুল-বয়সী হ্যাকার একটি পরীক্ষার অংশ হিসাবে PyPI তে আপলোড করেছিল৷ 250 টিরও বেশি ব্যবহারকারী প্যাকেজগুলির একটি ডাউনলোড করেছেন, যাদের মধ্যে 11 জনের কম্পিউটারে ফাইলগুলি এনক্রিপ্ট করা হয়েছে৷ সেই উদাহরণে, ক্ষতিগ্রস্থরা মুক্তিপণ না দিয়েই ডিক্রিপশন কী পেতে সক্ষম হয়েছিল কারণ হ্যাকার দৃশ্যত দূষিত উদ্দেশ্য ছাড়াই ম্যালওয়্যার আপলোড করেছিল।
যাইহোক, এমন আরও অনেক উদাহরণ রয়েছে যেখানে আক্রমণকারীরা ম্যালওয়্যার বিতরণের জন্য লঞ্চিং প্যাড হিসাবে পাবলিক কোড রিপোজিটরি ব্যবহার করেছে।
এই বছরের শুরুতে, সোনাটাইপ PyPI-তে কোবাল্ট স্ট্রাইক আক্রমণ কিট ডাউনলোড করার জন্য একটি দূষিত প্যাকেজও আবিষ্কার করেছিল। সম্পর্কিত 300 ডেভেলপার ম্যালওয়্যার ডাউনলোড করেছে এটি অপসারণ করার আগে। জুলাই মাসে, ক্যাসপারস্কির গবেষকরা আবিষ্কার করেন চারটি অত্যন্ত অস্পষ্ট তথ্য চুরিকারী জাভা প্রোগ্রামারদের জন্য বহুল ব্যবহৃত এনপিএম সংগ্রহস্থলে লুকিয়ে থাকা।
আক্রমণকারীরা ক্রমবর্ধমানভাবে এই রেজিস্ট্রিগুলিকে লক্ষ্যবস্তু করতে শুরু করেছে কারণ তাদের বিস্তৃত নাগাল রয়েছে৷ PyPI, উদাহরণস্বরূপ, শেষ হয়েছে 613,000 ব্যবহারকারীগণ এবং সাইট থেকে কোড বর্তমানে বিশ্বব্যাপী 391,000 টিরও বেশি প্রকল্পে এমবেড করা হয়েছে৷ ফরচুন 500 ফার্ম, সফ্টওয়্যার প্রকাশক এবং সরকারী সংস্থাগুলি সহ - সমস্ত আকার এবং প্রকারের সংস্থাগুলি তাদের নিজস্ব সফ্টওয়্যার তৈরি করতে পাবলিক রিপোজিটরি থেকে কোড ব্যবহার করে৷
