আক্রমণকারীরা জাল পাইথন প্যাকেজ তৈরি করতে থাকে এবং ডেভেলপারদের সিস্টেমগুলিকে W4SP স্টিলার দিয়ে সংক্রামিত করার প্রয়াসে প্রাথমিক অস্পষ্টতা কৌশল ব্যবহার করে, একটি ট্রোজান যা ক্রিপ্টোকারেন্সি তথ্য চুরি করার জন্য ডিজাইন করা হয়েছে, সংবেদনশীল ডেটা বের করে দিতে এবং ডেভেলপারদের সিস্টেম থেকে প্রমাণপত্র সংগ্রহ করে৷
এই সপ্তাহে সফ্টওয়্যার সাপ্লাই চেইন ফার্ম ফিলামের প্রকাশিত একটি পরামর্শ অনুসারে, একজন হুমকি অভিনেতা পাইথন প্যাকেজ ইনডেক্সে (PyPI) জনপ্রিয় সফ্টওয়্যার প্যাকেজের 29টি ক্লোন তৈরি করেছেন, তাদের সৌম্য-শব্দযুক্ত নাম দিয়েছেন বা উদ্দেশ্যমূলকভাবে তাদের বৈধ প্যাকেজের মতো নাম দিয়েছেন, একটি টাইপোস্ক্যাটিং নামে পরিচিত অনুশীলন। যদি একজন বিকাশকারী দূষিত প্যাকেজগুলি ডাউনলোড এবং লোড করে, সেটআপ স্ক্রিপ্টটিও ইনস্টল করে — বেশ কয়েকটি অস্পষ্ট পদক্ষেপের মাধ্যমে — W4SP স্টিলার ট্রোজান৷ প্যাকেজগুলি 5,700 ডাউনলোডের জন্য দায়ী, গবেষকরা বলেছেন।
যখন W4SP স্টিলার ক্রিপ্টোকারেন্সি ওয়ালেট এবং আর্থিক অ্যাকাউন্টগুলিকে লক্ষ্য করে, বর্তমান প্রচারাভিযানের সবচেয়ে উল্লেখযোগ্য উদ্দেশ্য বিকাশকারীর গোপনীয়তা বলে মনে হয়, লুই ল্যাং বলেছেন, ফিলামের সহ-প্রতিষ্ঠাতা এবং CTO৷
"এটি ইমেল ফিশিং প্রচারাভিযানগুলির বিপরীত নয় যা আমরা দেখতে অভ্যস্ত, শুধুমাত্র এই সময়ে আক্রমণকারীরা শুধুমাত্র ডেভেলপারদের টার্গেট করছে," তিনি বলেছেন। "বিবেচনা করে যে বিকাশকারীরা প্রায়শই মুকুট রত্নগুলিতে অ্যাক্সেস রাখে, একটি সফল আক্রমণ একটি সংস্থার জন্য ধ্বংসাত্মক হতে পারে।"
অজানা অভিনেতা, বা গোষ্ঠীর দ্বারা PyPI-এর উপর আক্রমণগুলি সফ্টওয়্যার সরবরাহ চেইনকে লক্ষ্য করার সর্বশেষ হুমকি মাত্র। রিপোজিটরি পরিষেবার মাধ্যমে বিতরণ করা ওপেন সোর্স সফ্টওয়্যার উপাদানগুলি, যেমন PyPI এবং নোড প্যাকেজ ম্যানেজার (npm), আক্রমণের একটি জনপ্রিয় ভেক্টর, যেমন সফ্টওয়্যারে আমদানি নির্ভরতার সংখ্যা নাটকীয়ভাবে বৃদ্ধি পেয়েছে. আক্রমণকারীরা অসচেতন ডেভেলপারদের সিস্টেমে ম্যালওয়্যার বিতরণ করার জন্য বাস্তুতন্ত্র ব্যবহার করার চেষ্টা করে, যেমনটি ঘটেছে রুবি জেমস ইকোসিস্টেমের উপর একটি 2020 আক্রমণ এবং আক্রমণ ডকার হাব ইমেজ ইকোসিস্টেম. এবং আগস্টে, চেক পয়েন্ট সফটওয়্যার টেকনোলজিসের নিরাপত্তা গবেষকরা 10টি PyPI প্যাকেজ পাওয়া গেছে যে তথ্য চুরি ম্যালওয়্যার বাদ.
এই সাম্প্রতিক প্রচারণায়, "এই প্যাকেজগুলি পাইথন ডেভেলপারের মেশিনে W4SP স্টিলার সরবরাহ করার জন্য একটি আরও পরিশীলিত প্রচেষ্টা," Phylum গবেষকরা তাদের বিশ্লেষণে বলা হয়েছে, যোগ করে: "যেহেতু এটি একটি দৃঢ়প্রতিজ্ঞ আক্রমণকারীর কাছ থেকে ক্রমাগত পরিবর্তনের কৌশল সহ একটি চলমান আক্রমণ, তাই আমরা অদূর ভবিষ্যতে এর মতো আরও ম্যালওয়্যার দেখতে পাচ্ছি বলে সন্দেহ করছি।"
PyPI আক্রমণ একটি "সংখ্যার খেলা"
এই আক্রমণটি ডেভেলপারদের সুবিধা নেয় যারা ভুলভাবে একটি সাধারণ প্যাকেজের নাম ভুল টাইপ করে বা সফ্টওয়্যারটির উত্স পর্যাপ্তভাবে যাচাই না করে একটি নতুন প্যাকেজ ব্যবহার করে। "টাইপসুটিল" নামে একটি ক্ষতিকারক প্যাকেজ হল জনপ্রিয় পাইথন প্যাকেজ "ডেটটাইম2"-এর একটি অনুলিপি, কিছু পরিবর্তন সহ।
প্রাথমিকভাবে, যে কোনো প্রোগ্রাম যা দূষিত সফ্টওয়্যার আমদানি করে সে সেটআপ পর্বে ম্যালওয়্যার ডাউনলোড করার জন্য একটি কমান্ড চালাবে, যখন পাইথন নির্ভরতা লোড করে। যাইহোক, যেহেতু PyPI নির্দিষ্ট চেকগুলি প্রয়োগ করেছে, আক্রমণকারীরা সন্দেহজনক কমান্ডগুলিকে বেশিরভাগ কোড এডিটরের স্বাভাবিক দর্শনযোগ্য পরিসরের বাইরে ঠেলে সাদা স্থান ব্যবহার করা শুরু করে।
"আক্রমণকারী কৌশল কিছুটা পরিবর্তন করেছে, এবং শুধুমাত্র একটি সুস্পষ্ট স্থানে আমদানি ডাম্প করার পরিবর্তে, এটিকে পর্দার বাইরে রাখা হয়েছিল, পাইথনের কদাচিৎ ব্যবহৃত সেমিকোলনের সুবিধা নিয়ে দূষিত কোডটিকে অন্যান্য বৈধ কোডের মতো একই লাইনে লুকিয়ে ফেলার জন্য," ফিলাম বলেছেন তার বিশ্লেষণে
যদিও টাইপোসক্যাটিং শুধুমাত্র বিরল সাফল্যের সাথে একটি কম বিশ্বস্ত আক্রমণ, তবে সম্ভাব্য পুরষ্কারের তুলনায় আক্রমণকারীদের প্রচেষ্টার জন্য খুব কম খরচ হয়, ফিলামস ল্যাং বলেছেন।
"এটি একটি সংখ্যার খেলা যা আক্রমণকারীরা প্রতিদিনের ভিত্তিতে এই দূষিত প্যাকেজগুলির সাথে প্যাকেজ ইকোসিস্টেমকে দূষিত করে," তিনি বলেছেন। "দুর্ভাগ্যজনক বাস্তবতা হল যে এই দূষিত প্যাকেজগুলির মধ্যে একটি স্থাপন করার খরচ সম্ভাব্য পুরস্কারের তুলনায় অত্যন্ত কম।"
একটি W4SP যে দংশন
আক্রমণের শেষ লক্ষ্য হল "তথ্য-চুরির ট্রোজান W4SP স্টিলার" ইনস্টল করা, যা ভিকটিমের সিস্টেমকে গণনা করে, ব্রাউজারে সংরক্ষিত পাসওয়ার্ড চুরি করে, ক্রিপ্টোকারেন্সি ওয়ালেটগুলিকে লক্ষ্য করে এবং 'ব্যাঙ্ক' এবং 'গোপন'-এর মতো কীওয়ার্ড ব্যবহার করে আকর্ষণীয় ফাইলগুলি অনুসন্ধান করে। ,'" ল্যাং বলেছেন।
"ক্রিপ্টোকারেন্সি বা ব্যাঙ্কিং তথ্য চুরি করার সুস্পষ্ট আর্থিক পুরষ্কার ছাড়াও, কিছু চুরি করা তথ্য আক্রমণকারী তাদের আক্রমণকে আরও এগিয়ে নিতে গুরুত্বপূর্ণ অবকাঠামো বা অতিরিক্ত বিকাশকারী শংসাপত্রগুলিতে অ্যাক্সেস দিয়ে ব্যবহার করতে পারে," তিনি বলেছেন।
ফিলাম আক্রমণকারীকে শনাক্ত করার ক্ষেত্রে কিছু অগ্রগতি করেছে এবং যেসব কোম্পানির অবকাঠামো ব্যবহার করা হচ্ছে তাদের রিপোর্ট পাঠিয়েছে।
